RCE olarak bilinen güvenlik açığı, iOS ve Android platformundaki milyonlarca Instagram kullanıcısını doğrudan ilgilendiriyor. Neyse ki güvenlik açığı erkenden giderildi ve kullanıcıların güncelleme yapmasını öneriyoruz.
Siber güvenlik firması Check Point’teki araştırmacılar, Instagram’ın mobil uygulamasında bir saldırganın hedefteki telefonunu uzaktan ele geçirmesine izin veren bir güvenlik açığı keşfetti. Bu yöntemle birlikte kullanıcının GPS konumu, telefon rehberi ve hatta kameraya erişmek mümkün.
Bu istismarın işleyişi, saldırganın hedefe bir görsel göndermesiyle başlıyor. Görsel e-posta, WhatsApp veya başka herhangi bir platform aracılığıyla gelebilir. Hedefteki kişi ise resmi telefonuna kaydetmeli. Bildiğiniz üzere görseller manuel olarak kaydedilebilse de telefon türüne veya kullanılan platforma göre otomatik olarak olarak da kaydolabiliyor. Örneğin WhatsApp, herhangi bir değişiklik yapılmadığında görselleri otomatik olarak kaydediyor.
Görsel içerisinde gömülü olarak gelen RCE (uzaktan kumanda yürütme) kodu, kullanıcı Instagram uygulamasını açtığında otomatik olarak tetikleniyor. Teknik olarak bakarsak, bu kodlar Heap Buffer Overflow’a (Yığın Arabellek Taşması) neden olan bir Integer Overflow oluşturuyor.
Nihayetinde ise Instagram uygulamasına tam erişim sağlanıyor. Sonrasında kullanıcının hesabındaki mesajlar doğrudan okunabilir, fotoğraflar silinebilir, paylaşım yapılabilir ve hemen her şeyi yapabilir. Özellikle belirtmek gerekirse, bu güvenlik açığı hem iOS hem de Android platformunda mevcut.
Ek olarak, Instagram’ın genellikle bazı harici telefon özelliklerine erişim izni olduğundan, bilgisayar korsanları GPS konumuna, kişilere, telefon kamerasına ve cihazda depolanan dosyalara erişebiliyor. Saldırgan ayrıca Instagram uygulamasını çökertebiliyor ve kullanıcı yeniden yükleyene kadar erişmesini engelleyebiliyor.
Check Point, Instagram uygulamasındaki güvenlik açığının üçüncü taraf kod kullanan geliştiricilerden kaynaklandığını söylüyor. Kodları lisanslamak ve açık kaynaklı alternatifler bulmak, geliştiricileri büyük zahmetlerden kurtarıyor. Ancak bazı durumlarda öngörülemeyen güvenlik açıklarına da yol açabiliyor. Güvenlik şirketi bu açığı “Mozjpeg” adlı açık kaynaklı bir JPEG decoder’da buldu.
Konu tüm herkese bildirilmeden önce Instagram’ın ana şirketi olan Facebook’a iletildi. Facebook ise hemen bir güncelleme yayınladı. Bir Facebook sözcüsü bu kusur hakkında şu şekilde bir açıklama yaptı:
“Sorunu çözdük ve herhangi bir kötüye kullanım kanıtı görmedik. Check Point’in yardımı için müteşekkiriz.”
