Instagram’daki Büyük Hata, Hacker’ların Telefonlara Uzaktan Erişmesine İzin Verebilir
Bilgisayar korsanlarının akıllı telefonunuzu uzaktan nasıl hackleyebileceğini hiç merak ettiniz mi? Bu yazıda bunun cevabını bulacaksınız.
Siber güvenlik firması Check Point’teki araştırmacıların paylaştığı bir raporda, Instagram’ın Android uygulamasında kritik bir güvenlik açığı olduğu bildirildi. Bu yılın başlarında keşfedilen bu açık sayesinde saldırganlar, kullanıcıların telefonlarına özel olarak hazırlanmış kötü içerikli bir görüntü dosyası göndererek telefonların uzaktan izlenebilir hale gelmesini sağlayabiliyorlar.
Saldırganlar tarafından gönderilen görüntü telefona kaydedildiğinde ve Instagram uygulamasında açıldığında, kullanıcının Instagram mesajları ve görüntüleri saldırganlar tarafından görülebilecek, görüntüler saldırganlar tarafından istenildiği zaman silinebilecek ve ayrıca telefon rehberinize, kameranıza ve konum verilerinize erişim sağlanabilecek.
Açık Nasıl Bulundu?
Araştırmacılar, popülerliği ile dikkat çeken ve uygulamanın kullanıcılardan istediği geniş kapsamlı izinleri nedeniyle Instagram’ın mobil uygulamasının güvenliğini incelemeye karar verdi.
Araştırma, saldırganlara teknik olarak “uzaktan kod yürütme (RCE)” yetkisi veren kritik bir güvenlik açığını ortaya çıkardı. Bu güvenlik açığı, bir saldırganın Instagram uygulamasında istediği herhangi bir işlemi gerçekleştirmesine izin verebilir.
Peki, bu kadar popüler olan bir uygulama, onu geliştirmek için çok büyük miktarda zaman ve kaynak harcandığı düşünüldüğünde nasıl olur da böyle kritik güvenlik açıkları içerir?
Aslında cevap çok basit. Birçok modern uygulama geliştiricisi uygulamanın tamamını kendi başlarına yazmıyor. Eğer yazarlarsa, bir uygulamayı yazmak yıllar alabilir. Uygulama geliştiricileri bunun yerine, görüntü işleme, ses işleme, ağ bağlantısı vb. gibi yaygın (ve genellikle karmaşık) görevleri yerine getirmek için üçüncü taraf kitaplıkları kullanırlar.
Bu, geliştiricilerin yalnızca uygulamaların temel iş mantığını temsil eden kodlama görevlerini yerine getirmesini sağlar. Ancak bu, üçüncü taraf kitaplıkların tamamen güvenilir ve emniyetli olmasına bağlıdır.
Check Point araştırmacıları, Instagram tarafından kullanılan üçüncü taraf kitaplıkları inceledi. Buldukları güvenlik açığı, Instagram’ın uygulamaya yüklenen görüntüler için JPEG formatındaki görüntü kod çözücüsü olarak kullandığı açık kaynaklı bir proje olan Mozjpeg’i kullanmasından kaynaklanıyordu.
Saldırı Senaryosu
Çalışmada açıklanan saldırı senaryosunda saldırgan, hedef kullanıcıya e-posta, WhatsApp veya başka bir uygulama aracılığıyla bir görüntü gönderebilir.
Hedef kullanıcı, görüntüyü telefonuna kaydeder ve Instagram uygulamasını açtıklarında istismar gerçekleşir ve saldırganın telefonda Instagram tarafından önceden izin verilen herhangi bir kaynağa tam erişimine sağlar.
Check Point, aslında saldırganın uygulama üzerinde tam kontrol sahibi olduğunu ve Instagram hesabındaki tüm kişisel mesajları okuyabileceğini ve fotoğrafları dilediği zaman silmek veya göndermek dahil olmak üzere kullanıcı adına eylemler oluşturabileceğini söyledi.
Check Point, bu açıkla ilgili bilgilerin Facebook ve Instagram ekiplerine açıklanmasının ardından, Facebook’un tüm platformlarda Instagram uygulamasının yeni sürümlerindeki bu sorunu gidermek için bir yama yayınladığını belirtti ve ayrıca “Tüm Instagram kullanıcılarının telefonlarında Instagram’ın en son sürümünü kullandıklarından emin olmalarını ve yeni bir güncelleştirme varsa bu güncellemeyi yapmalarını şiddetle tavsiye etti.
Çok teşekkürler bu detay paylaşımınız için.
Rica ederim Murat Bey. Ben de teşekkür ederim bu güzel yorumunuz için.