חוקרי חברת אבטחת המידע הישראלית צ'ק פוינט הודיעו היום (ה') על פירצת אבטחה חמורה שגילו באינסטגרם לפני כחצי שנה, ואשר נסגרה במהירות על ידי פייסבוק לאחר שחוקרי צ'ק פוינט דיווחה אודותיה. על פי צ'ק פוינט, ניצול הפירצה היה עלול לאפשר לתוקפים להשתלט מרחוק על מכשיר הסמארטפון.
"עם קבלת השליטה מרחוק, התוקף יכול להשתמש במכשיר הטלפון כבשלו ולהופכו למכשיר ריגול לכל דבר ועניין, באופן שמנגיש לתוקף את כלל המידע שנמצא על המכשיר ואת היכולות השונות שבו", נטען בהודעת צ'ק פוינט.
על פי הודעת צ'ק פוינט, חוקרי החברה "עדכנו את פייסבוק בדבר החולשה בחודש בפברואר והחברה טיפלה בנושא במהירות באמצעות עדכון אבטחה שנועד לחסום את החולשה בגרסאות מעודכנות של אינסטגרם".
בצ'ק פוינט הסבירו את הפירסום המאוחר של חולשת האבטחה שהתגלתה עוד בפברואר השנה, בכך ש"בשל העובדה שמדובר בחולשה חמורה באפליקציה פופולרית וכן שמדובר בעדכון שאינו אוטומטי ודורש מהמשתמשים להוריד אותו, צ'ק פוינט המתינה 6 חודשים עם הפרסום (3 חודשים מעבר לזמן המקובל לעדכון וטיפול בחולשות עד פרסומן), בכדי לצמצם את הסיכון הפוטנציאלי הנשקף מהחולשה".
פייסבוק אישרה את הדברים באופן חלקי וטענה כי "הדו"ח של צ׳ק פוינט מפריז בתיאור התקלה שתוארה בפנינו". על פי פייסבוק "החקירה העצמאית של צ'ק פוינט לא הצליחה לנצל לרעה את הבאג שהתגלה בשום צורה. הבעיה נפתרה ואין לנו כל סיבה להאמין שמישהו הושפע ממנה".
צ'ק פוינט מסרה כי חולשת האבטחה התגלתה "בקוד של אחת הספריות בהן משתמשת אינסטגרם - Mozjpeg - אשר מאפשרת העלאת תמונות לאפליקציה", וכי היא "אפשרה השתלטות מרחוק על האפליקציה ומכשיר הטלפון שבו היא מאוחסנת בשיטת Remote Control Execution - RCE".
החברה קראה למשתמשי אינסטגרם לוודא שהם משתמשים בגרסה מעודכנת של האפליקציה "בכדי להבטיח שהחולשה שמצאנו לא שמישה על המכשיר שלהם".
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.
כתבות
ני"ע
