[English]Sicherheitsforschern von Check Point ist es gelungen, die Instagram-App auf Smartphones zu attackieren, indem sie gelang Malware-verseuchte Bilder posteten. Damit war der Diebstahl von Kontenzugangsdaten und die Überwachung des Mobilgeräts möglich. Die Schwachstelle ist inzwischen behoben.
Die Nachricht ist mir heute Mittag von den Check Point Sicherheitsforschern per Mail zugegangen. Instagram zählt derzeit über eine Milliarde Nutzer weltweit. Daher haben sich die Check Point-Leute die beliebte Social-Media-Plattform Instagram vorgenommen und auf Schwachstellen abgeklopft. Dabei fanden sie eine gefährliche Schwachstelle. Mithilfe eines verseuchten Fotos konnten die Experten Nutzerkonten stehlen und Mobilgeräte überwachen.
Ein infiziertes Bild reicht für den Hack
Der Vorgang ist denkbar einfach: Angreifer mussten lediglich ein infiziertes Bild an einen Nutzer über E-Mail, WhatsApp oder MMS schicken – oder eine andere Plattform ihrer Wahl. Sobald der Anwender das Bild speichert (was bei WhatsApp unter Werkseinstellungen automatisch geschieht) und die Instagram-App auf seinem Smartphone öffnet, wird die Malware hinter dem Bild aktiviert. Auf diese Weise erhält der Angreifer volle Kontrolle über das Mobilgerät des Opfers, um es fernzusteuern. Anschließend eröffnen sich dem Angreifer verschiedene Möglichkeiten:
- Der Hacker kann die Instagram-App abstürzen lassen und dem Nutzer solange den Zugriff darauf verwehren, bis diese gelöscht und erneut installiert wird. Das kann zu Daten-Verlust führen.
- Außerdem erlangt der Hacker den Zugang zum Nutzerkonto des Opfers bei Instagram und kann dessen Nachrichten und Bilder einsehen, Fotos löschen und neue veröffentlichen, sowie die Profildaten ändern.
- Schließlich kann er das Smartphone in eine Wanze verwandeln, weil die Instagram-App enorm viele Zugriffsberechtigungen auf verschiedene Funktionen des Smartphones fordert.
Gerade der letztgenannte Punkt kommt dem Angreifer sehr gelegen, denn so erhält er Einsicht in die Kontakte, den GPS-Standort, die gespeicherten Dateien und kann die Kamera auslesen.
Fehler in Open-Source-Decoder Mozjpeg
Die konkrete Sicherheitslücke fanden die Sicherheitsforscher in Mozjpeg, einem Open-Source-Decoder für jpeg-Bilder. Diesen nutzt Instagram, um Bilder in die Anwendung zu laden. Aus diesem Grund warnen die Experten alle Entwickler davor, solche Drittanbieterprogramme einzusetzen, ohne eingehend deren Sicherheit zu prüfen.
„Zum einen ergaben unsere Nachforschungen, dass die Programmdatenbanken von Drittanbietern ein gefährliches Einfallstor sein können. Daher empfehlen wir allen Entwicklern diese Software umfangreich zu prüfen, bevor sie eingebunden wird und die gesamte App-Struktur gefährdet. Solche Drittanbieterprogramme aus Open-Source-Quellen sind weit verbreitet. Außerdem raten wir allen Nutzern dringend, sich darüber zu informieren, welche oft weitreichenden Berechtigungen eine App bei der Installation erfordert. Das ist die stärkste Verteidigungslinie gegen Smartphone-Attacken,“ erläutert Yaniv Balmas, Head of Cyber Research bei Check Point Software Technologies.
Schwachstelle inzwischen beseitigt
Die Schwachstelle wurde von Check Point bereits vor sechs Monaten entdeckt und an Facebook, den Eigner von Instagram, gemeldet. Die Lücke wurde bald darauf geschlossen, doch Check Point entschied sich zur langen Wartezeit, um keine Nutzer zu gefährden. Die Sicherheitsforscher hofften, dass mittlerweile alle Anwender die Patches installiert haben würden. Facebook hat die Lücke als CVE-2020-1895 aufgenommen. Einen Überblick der Nachforschung findet sich im Check Point-Blog in diesem Artikel. Technische Einzelheiten lassen sich hier nachlesen.
