Facebook, który jest właścicielem Instagrama, już naprawił błąd.
Według ekspertów atakujący najpierw wysłał ofierze złośliwy plik na e-mail, WhatsApp lub inną aplikację.
Ta luka pozwoliła oszustom przejąć konto na Instagramie ofiary, wysyłając jej złośliwy plik z obrazkiem. Jeśli użytkownik zachował obrazek, a potem otwierał Instagrama, haker inicjował atak i w rezultacie mógł kierować kontem ofiary bez jej wiedzy, otrzymywał dostęp do kontaktów telefonu, kamerze i danych o lokalizacji użytkownika – podano.
Luka dotyczyła Mozjpeg, dekodera JPEG typu open source, którego Instagram używa do ładowania zdjęć do aplikacji. Eksperci Check Point szybko udostępnili wyniki badań Facebookowi, właścicielowi Instagrama.
„Facebook przyznał się do problemu, opisując lukę jako „przepełnienie bufora”. Firma już ją naprawiła w nowych wersjach aplikacji Instagram na wszystkich platformach” – czytamy w komunikacie.„Na podstawie naszych badań doszliśmy do dwóch wniosków. Po pierwsze, kod innej firmy w aplikacji może stanowić poważne zagrożenie. Wzywamy programistów do sprawdzania bibliotek kodów innych firm.
Kod stron trzecich jest używany w prawie każdej aplikacji, więc bardzo łatwo jest przeoczyć zagrożenie. Po drugie, użytkownicy powinni uważać na uprawnienia dostępu, które dają aplikacjom. Zalecam chwilę zastanowić się przed wyrażeniem zgody na dostęp aplikacji do pewnych funkcji lub danych na urządzeniu, ponieważ może to uchronić przed potencjalnymi atakami
– skomentował szef oddziału badań cybernetycznych w Check Point Yaniv Balmas.
Eksperci zalecają użytkownikom regularne aktualizowanie aplikacji mobilnych i systemu operacyjnego oraz zwracanie uwagi na aplikacje, które żądają uprawnień.
„Pomyśl przez kilka sekund przed wyrażeniem zgody. Zadaj sobie pytanie, czy naprawdę chcesz dać tej aplikacji dostęp do swoich danych?” – napisano.
Klikając przycisk "Post", jasno wyrażają Państwo zgodę na przetwarzanie danych na swoim koncie w Facebooku w celu komentowania wiadomości na naszej stronie internetowej za pomocą tego konta. Szczegółowy opis procesu przetwarzania danych można znaleźć w Polityce prywatności.
Zgodę można wycofać, usuwając wszystkie pozostawione komentarze.
Wszystkie komentarze
Pokaż nowe komentarze (0)
w odpowiedzi na (Pokaż komentarzUkryj komentarz)