جاسوسی از اینستاگرام با یك فایل تصویری مخرب

جاسوسی از اینستاگرام با یك فایل تصویری مخرب

صدمه پذیری خطرناكی در اینستاگرام شناسایی شده كه هكرها با استفاده از آن می توانند به موقعیت مكانی و به فایل های ذخیره شده در دستگاه قربانی دسترسی یابد، فهرست مخاطبین او را جست وجو و دوربین گوشی را روشن كند و همچنین از ورود كاربر به اینستاگرام تا زمان حذف و نصب مجدد جلوگیری كند.
به گزارش سئو مئو به نقل از ایسنا، محققان شرکت چک پوینت صدمه پذیری خطرناکی را در نسخه اندروید و iOS برنامه کاربردی اینستاگرام شناسایی کرده اند که امکان اجرای کد از راه دور را برای هکرها از راه یک فایل تصویری مخرب فراهم می آورد و مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) درباره این صدمه پذیری توضیح داده است.
برای به دست گرفتن کنترل اینستاگرام در گوشی کاربران کافی است هکر تصویری مخرب را از راه ایمیل، واتس اپ، پیامک یا دیگر روش ها ارسال نماید. پس از ذخیره تصویر در گوشی، کد مخرب پنهان شده در تصویر با اجرای برنامه کاربردی اینستاگرام فعال می شود. به محض اکسپلویت صدمه پذیری، هکر کنترل کامل اینستاگرام قربانی را در دست می گیرد. برای مثال، می تواند پست جدیدی ارسال کرده یا پستی را پاک کند.
بعلاوه از آنجایی که اینستاگرام حق دسترسی به بعضی از قابیلت های گوشی را هم دارد، هکر می تواند با اکسپلویت این صدمه پذیری به موقعیت مکانی و به فایل های ذخیره شده در دستگاه قربانی دسترسی یابد، فهرست مخاطبین او را جست وجو و دوربین گوشی را روشن کند. همینطور هکر می تواند برنامه اینستاگرام را مختل و از ورود کاربر به اینستاگرام تا زمان حذف و نصب مجدد جلوگیری کند.
ریشه این صدمه پذیری استفاده از برنامه شخص سوم با نام MozJPEG برای پردازش تصاویر است. یک دستور صدمه پذیر در این برنامه به مهاجم اجازه می دهد که حافظه اختصاص داده شده به تصویر را دستکاری کرده و کد مخرب مورد نظر خویش را اجرا نماید.
چک پوینت پیش از انتشار خبر به صورت عمومی صدمه پذیری را به شرکت فیسبوک (فیسبوک اینستاگرام را در سال 2012 خریده است.) اعلام نموده است تا زمان کافی برای رفع صدمه پذیری وجود داشته باشد. فیسبوک به سرعت وصله ای برای صدمه پذیری ارائه نمود. در نتیجه اگر اینستاگرام شما به روزرسانی شده است، نباید نگران این صدمه پذیری باشید. همینطور به کاربران سفارش می شود که برنامه اینستاگرام خویش را به آخرین نسخه موجود به روزرسانی کنند.

منبع: