חברת צ'ק פוינט פרסמה היום (חמישי) כי פרצת אבטחה חמורה אותרה באחת האפליקציות הפופולריות בעולם - אינסטגרם. החולשה, שאותרה ע"י החוקרים, אותרה במנגנון עיבוד התמונות של הפלטפורמה הפופולרית, ואפשרה לתוקף להשתלט על האפליקציה וכן להשיג את מיקומו של הקורבן, פרטי אמצעי הקשר, הפעלת מצלמה ועוד.

למעשה, עם קבלת השליטה מרחוק, התוקף יכול להשתמש במכשיר הטלפון כבשלו ולהופכו למכשיר ריגול לכל דבר ועניין, באופן שמנגיש לתוקף את כלל המידע שנמצא על המכשיר ואת היכולות השונות שבו.

פייסבוק תיקנו את החולשה והוציאה עדכון למשתמשים שחסם את החולשה. צ'ק פוינט המתינה עם פרסום החולשה במשך שישה חודשים, בכדי לאפשר לכמה שיותר משתמשים להוריד את העדכון ובכך לצמצם את הסיכון של ניצול החולשה.

כך עבדה המתקפה: ראשית, התוקף שולח תמונה המכילה קוד זדוני לקורבן דרך מייל, וואסטאפ, סמס או בכל פלטפורמה אחרת. היא נשמרת על המכשיר הנייד - בין אם בצורה אוטומטית כברירת מחדל, ובין אם באופן ידני. בהמשך, הקורבן פותח את אפליקציית אינסטגרם לשימוש רגיל ובכך מאתחל את ניצול החולשה, באופן שמאפשר השתלטות על המכשיר. 

השליטה על האינסטגרם של הקורבן וכן על המכשיר בו היא מאוחסנת בעקבות החולשה היא רחבת היקף, בשל העובדה שהאפליקציה מבקשת הרשאות רבות על המכשיר בו היא מאוחסנת. כך למעשה, הדבר מאפשר לתוקף לקבל גישה ליכולות רבות של מכשיר הטלפון הנייד – החל ממיקום הקורבן והפעלת מצלמה ועד לגישה לכלל התמונות והסרטונים השמורים על המכשיר. כמו כן, ניצול החולשה מאפשר להקריס את האפליקציה ולהוציאה מכלל שימוש עד למחיקתה מהמכשיר.

יניב בלמס, מנהל מחלקת מחקר סייבר בצ'ק פוינט סיפר: "אפליקציות פופולריות נחשבות ל'מטרות זהב' למדינות וגופי תקיפה גדולים, שכן הן מכילות מידע אישי רב עליהן, וכן מבקשות סדרה ארוכה במיוחד של הרשאות ונגישות על המכשיר עליו הן מותקנות. מבחינה זו, חולשה באפליקציה שכזו מהווה פתח להתקפה מסוכנת במיוחד". לדבריו, משתמשים רבים כלל לא מסתכלים על ההרשאות שהם מאפשרים לאפליקציות, ואנו ממליצים לעשות זאת בכדי להבטיח שהם מודעים לסיכון שהם נוטלים על עצמם. "אנו קוראים לכלל משתמשי אינסטגרם לוודא שהם משתמשים בגרסא מעודכנת של האפליקציה, בכדי להבטיח שהחולשה שמצאנו לא שמישה על המכשיר שלהם", סיכם.

מפייסבוק נמסר בתגובה: "הדוח של צ׳ק פוינט מפריז בתיאור התקלה שתוארה בפנינו. החקירה העצמאית של צ'ק פוינט לא הצליחה לנצל לרעה את הבאג שהתגלה בשום צורה. הבעיה נפתרה ואין לנו כל סיבה להאמין שמישהו הושפע ממנה".