ثغرة جديدة في تطبيق انستجرام قد تكون سمحت للهكرز بدخول لهاتفك والسيطرة عليه | فهم الثغرة وطريقة الحماية منها بالتفاصيل ..

 ثغرة جديدة في التطبيق الشهير انستجرام Instagram تسمح للهكرز بالدخول لهاتفك والتحكم به عن بعد ..

هل تساءلت يومًا كيف يمكن للقراصنة اختراق هاتفك الذكي عن بُعد؟

في تقرير تمت مشاركته مع The Hacker News اليوم ، كشف باحثو Check Point عن تفاصيل حول ثغرة خطيرة في تطبيق Android على Instagram والتي كان من الممكن أن تسمح للمهاجمين عن بُعد بالتحكم في جهاز مستهدف فقط عن طريق إرسال صورة مصممة خصيصًا للضحايا.

الأمر الأكثر إثارة للقلق هو أن الخلل لا يسمح فقط للمهاجمين بتنفيذ الإجراءات نيابة عن المستخدم داخل تطبيق Instagram - بما في ذلك التجسس على الرسائل الخاصة للضحية وحتى حذف الصور أو نشرها من حساباتهم - ولكن أيضًا تنفيذ تعليمات برمجية عشوائية على الجهاز.

وفقًا لاستشارة نشرتها Facebook ، فإن مشكلة أمان تجاوز سعة الذاكرة المؤقتة (التي تم تتبعها كـ CVE-2020-1895 ، درجة CVSS: 7.8) تؤثر على جميع إصدارات تطبيق Instagram قبل 128.0.0.26.128 ، والذي تم إصداره في 10 فبراير في وقت سابق هذا عام

وقالت Check Point Research في تحليل نُشر اليوم: "هذا [الخلل] يحول الجهاز إلى أداة للتجسس على المستخدمين المستهدفين دون علمهم ، فضلاً عن تمكين التلاعب الضار بملفهم الشخصي على Instagram".

"في كلتا الحالتين ، يمكن أن يؤدي الهجوم إلى انتهاك واسع النطاق لخصوصية المستخدمين ويمكن أن يؤثر على سمعتهم - أو يؤدي إلى مخاطر أمنية أكثر خطورة."

بعد إبلاغ Facebook بالنتائج ، عالجت شركة التواصل الاجتماعي المشكلة بتحديث التصحيح الذي تم إصداره قبل ستة أشهر. تم تأجيل الكشف العام طوال هذا الوقت للسماح لغالبية مستخدمي Instagram بتحديث التطبيق ، وبالتالي التخفيف من المخاطر التي قد تسببها هذه الثغرة الأمنية.

على الرغم من تأكيد Facebook على عدم وجود علامات على استغلال هذا الخطأ على مستوى العالم ، إلا أن هذا التطور هو تذكير آخر لسبب ضرورة تحديث التطبيقات باستمرار ومراعاة الأذونات الممنوحة لهم.

Overflow ثغرة

وفقًا لـ Check Point ، تسمح ثغرة تلف الذاكرة بتنفيذ التعليمات البرمجية عن بُعد ، والتي يمكن الاستفادة منها ، نظرًا لأذونات Instagram الواسعة للوصول إلى كاميرا المستخدم وجهات الاتصال ونظام تحديد المواقع العالمي (GPS) ومكتبة الصور والميكروفون ، لتنفيذ أي إجراء ضار على الجهاز المصاب.

أما بالنسبة للعيب نفسه ، فهو ينبع من الطريقة التي دمج بها Instagram MozJPEG - وهي مكتبة تشفير JPEG مفتوحة المصدر تهدف إلى خفض النطاق الترددي وتوفير ضغط أفضل للصور التي يتم تحميلها إلى الخدمة - مما يؤدي إلى تجاوز عدد صحيح عند وجود وظيفة ضعيفة في السؤال ( يحاول "read_jpg_copy_loop") تحليل صورة ضارة ذات أبعاد مصممة خصيصًا.

عند القيام بذلك ، يمكن للهكرز التحكم في حجم الذاكرة المخصصة للصورة ، وطول البيانات التي سيتم استبدالها ، وأخيرًا ، محتويات منطقة الذاكرة الفائضة ، مما يمنح المهاجم بدوره القدرة على إتلاف بعض مواقع في كومة وتنفيذ كود التحويل.

نتيجة هذه الثغرة الأمنية هي أن كل ما يحتاجه الفاعل السيئ هو إرسال صورة JPEG تالفة إلى الضحية عبر البريد الإلكتروني أو WhatsApp. بمجرد أن يحفظ المستلم الصورة على الجهاز ويطلق Instagram ، يتم الاستغلال تلقائيًا ، مما يمنح المهاجم السيطرة الكاملة على التطبيق.

والأسوأ من ذلك ، أنه يمكن استخدام الاستغلال لتعطيل تطبيق Instagram الخاص بالمستخدم وجعله غير ممكن الوصول إليه ما لم تتم إزالته وإعادة تثبيته مرة أخرى على الجهاز.

إذا كان هناك أي شيء ، فإن الثغرة الأمنية تشير إلى أن دمج مكتبات الطرف الثالث في التطبيقات والخدمات يمكن أن يكون رابطًا ضعيفًا للأمان إذا لم يتم التكامل بشكل صحيح.

قال غال إلباز من Check Point: "أدى تشويش الشفرة المكشوفة إلى ظهور بعض نقاط الضعف الجديدة التي تم إصلاحها منذ ذلك الحين". "من المحتمل أنه ، في ظل الجهد الكافي ، يمكن استغلال إحدى هذه الثغرات الأمنية من أجل RCE في سيناريو هجوم بنقرة صفرية.

"لسوء الحظ ، من المحتمل أيضًا أن تظل أخطاء أخرى أو سيتم تقديمها في المستقبل. على هذا النحو ، من الضروري للغاية إجراء اختبار الزغب المستمر لهذه التعليمات البرمجية لتحليل تنسيق الوسائط وما شابهها ، سواء في مكتبات نظام التشغيل أو مكتبات الجهات الخارجية. "

قدم يانيف بالماس ، رئيس قسم الأبحاث الإلكترونية في Check Point ، نصائح الأمان التالية لمستخدمي الهواتف الذكية:

. تحديث! تحديث! تحديث! تأكد من تحديث تطبيق الهاتف المحمول وأنظمة التشغيل المحمولة بانتظام. يتم شحن العشرات من تصحيحات الأمان الهامة في هذه التحديثات كل أسبوع ، ويمكن أن يكون لكل منها تأثير شديد على خصوصيتك.

. أذونات المراقبة. انتبه جيدًا للتطبيقات التي تطلب الإذن. من السهل على مطوري التطبيقات أن يطلبوا من المستخدمين أذونات مفرطة ، كما أنه من السهل جدًا على المستخدمين النقر فوق "سماح" دون التفكير مرتين.

. فكر مرتين في الموافقات. خذ بضع ثوان للتفكير قبل الموافقة على أي شيء. اسأل: "هل أرغب حقًا في منح هذا التطبيق هذا النوع من الوصول ، هل أحتاجه حقًا؟" إذا كان الجواب لا ، فلا توافق.