Mobil

Instagram iOS ve Android Sürümlerindeki Önemli Güvenlik Açığı

İlkbahar aylarında Instagram’ın iOS ve Android sürümlerinde kritik bir emniyetlik açığı tespit edilmişti. Bu emniyetlik açığı, bir saldırganın maksat kullanıcının datalarına erişmesini, kullanıcının Instagram’a erişimini engellemesini, kullanıcının hesabı üzerinde tam denetim sağlamasını ve hatta taşınabilir aygıt üzerinde tam denetim sağlamasına neden oluyordu. Bu emniyetlik açığı kapatılmış olsa da yapılan yeni açıklamalar, açığın nasıl sömürülebileceğini teknik olarak açıklıyor.

Yapılan açıklamalara nazaran Instagram’ın güvenlik açığını kullanabilmek çok kolaydı. Bir saldırgan, özel bir imaj oluşturarak bu imgeyi hedeflediği kullanıcıya gönderirse, emniyetlik açığı nedeniyle geniş kapsamlı bir erişim hakkının kapıları açılmış oluyordu. Amaçtaki kullanıcının ilgili görseli telefonuna kaydetmesi de süreci kafalatıyor ve bilgisayar korsanı, gayesindeki kullanıcının tüm datalarına erişebiliyordu.

instagram ios ve android surumlerindeki onemli guvenlik acigi 0 gn5DSanF

Instagram’ın kritik değer arz eden güvenlik açığı, Check Point isimli siber güvenlik şirketi tarafından keşfedildi. Şirket, bu emniyetlik açığını Facebook’a bildirdikten sonra da gerekli süreçler başlatıldı ve açık kapatıldı. Lakin bu emniyetlik açığıyla ilgili teknik açıklamalar yapan Check Point, güvenlik açıklarının aslında ne kadar kolay sömürülebildiğini, kullanıcıların nasıl bir risk altında olduklarının anlaşılmasını sağlıyor.

Check Point’ten Gal Elbaz tarafından hazırlanan teknik rapora nazaran Instagram’ın güvenlik açığına neden olan şey, üçüncü taraf kod entegrasyonuydu. Siber emniyetlik uzmanı, Instagram’da da kullanılan Mozjpeg adli bir açık kaynak kodlu JPEG kodlayıcısının, bu güvenlik açığına neden olduğunu söylüyor. Instagram, bu kodlayıcı üzerinden daha küçük boyutlu olduğunu düşündüğü fakat aslında çok büyük olan bir görseli yüklemeye çalışıyor bu da çökmeye neden oluyordu. Bu tıp bir aksaklık, “yığın arabellek taşması” olarak da biliniyor.

  • Not: Mozjpeg adli açık kaynak kodlu JPEG kodlayıcısı, Mozilla ve Facebook tarafından ortak olarak geliştirildi. Bu kodlayıcının dikkat çeken özelliği, JPEG uzantılı evrakları (yani pek çok fotoğrafı) daha küçük boyutlarda oluştururken, kalite kaybı yaşatmamasıydı. Bu sayede hem Mozilla ve Facebook’un veritabanları rahatlayacak hem de kullanıcılara daha süratli bir görsel yükleme tecrübesi sunulacaktı.

instagram ios ve android surumlerindeki onemli guvenlik acigi 1 WKCZh67Y

Check Point tarafından hazırlanan rapora nazaran uzmanlar, Mozjpeg’in kodlarını, JPEG kodlayıcının Instagram’ı etkileyip etkilemeyeceğini anlamak için araştırmışlar. İşte kelam konusu kritik emniyetlik açığı da bu araştırmalar sırasında ortaya çıkmış. Elbaz, oluşturduğu raporda emniyetlik açığının hangi kod çalışırken sömürüldüğünü de paylaşıyor;

instagram ios ve android surumlerindeki onemli guvenlik acigi 2 7zUgvWZh

*Sarı renkli okla belirtilen kod, “yığın arabellek taşması” probleminin kaynaklanmasına yol açıyor.

Elbaz, bir bilgisayar korsanının kelam konusu emniyetlik açığından faydalanabilmek için 2^32 bytetan daha büyük bir boyut belirtmesi gerektiğini tabir ediyor. İşte bu koşullara uyan bir manzara oluşturup bu imgeyi maksat kullanıcıya gönderen bir saldırgan, maksisima Instagram üzerinden ulaşmış oluyordu. Hatta Elbaz’e nazaran bir bilgisayar korsanı, bu güvenlik açığından faydyerarak kendi kodlarını bile yürütebilir.

Kelam konusu emniyetlik açığının işleyişini şu biçimde özetlemek mümkün

  • Kurbana, koşulları sağlayan bir imaj gönderin. Bu manzara SMS, WhatsApp ya da e-posta uygulamaları aracılığıyla gönderilebilir.
  • Imaj, telefona kaydedildikten sonra kurbanın Instagram’a giriş yapmasını bekleyin.
  • Kurban, Instagram’a erişmeye çalıştığında uygulama çökecek. Bu süreçte de emniyetlik açığından farklı biçimlerde faydalanılabilir.

İşte bu teknik rapor, güvenlik açıklarının kullanıcıları nasıl kolay bir halde kurban haline gelebileceklerini gösteriyor. Ayrıyeten üstteki anlattığımız süreçleri genişletmek de mümkün. Yani kelam konusu güvenlik açığının çok daha fazlasına yol açma ihtimali var. Lakin Check Point, emniyetlik açığını Facebook’a bildirdikten sonra bu açık üzerinde çalışmayı bırakmış. Zira emniyetlik açığı süratlice kapatılıp, risk ortadan kalkmış.

Yeni Donanım

Yeni Donanım sizler için teknolojiyi takip ediyor ve sizlere bilgi veriyor. Yeni Donanım'ı takip edin teknolojinin nabzını burada hissedin.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu