Специалисты компании в сфере кибербезопасности Check Point обнаружили опасную уязвимость в Instagram для любой мобильной операционной сети — IOS или Android, которая позволяла злоумышленникам обрести полный контроль над страницей пользователя. Баг получил 7,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS (Общая система оценки уязвимостей).
— Наше исследование выявило критическую уязвимость, которая может позволить злоумышленникам то, что технически называется удалённым выполнением кода (RCE), — об этом сообщают сотрудники компании Check Point у себя в блоге.
Все, что требовалось злоумышленнику для атаки на устройство — отправить пользователю вредоносный файл в формате JPEG, причем через любой возможный мессенджер или почту. Со стороны пользователя достаточно одного сохранения данной картинки, и устройство превращается в машину для шпионажа, которая конфиденциальную информацию. Злоумышленникам становилась доступна вся личная информация, вплоть до получения доступа к контактам из записной книжки, в также возможности незаметно для владельца устройства узнать его геолокацию, запустить камеру или микрофон.
Эксперты Check Point также заявляют, что оповестили о проблеме владельца социальной сети — компанию Facebook. После сообщения об атаке, Instagram незамедлительно выпустил новую версию приложения с исправленными ошибками, но в опасности находятся еще все пользователи, не обновившие приложение.
Основатель проекта по обеспечению экономической безопасности бизнеса Игорь Бедеров предупреждает, что существует несколько вариантов внедрения вредоносного кода в устройство. Первый из них эксплуатирует уязвимости, возникающие при автоматической загрузке мессенджером различного контента (картинки, видео или аудиофайлы). Жертва получает ссылку на контент, который автоматически загружается мессенджером и вместе с загрузкой автоматически передает в смартфон вредоносное содержимое, которое позволяет перехватить активную сессию в мессенджере или совершать иные действия.
Другой варианты предусматривает использование в загружаемом графическом файле части вредоносного кода, скрытого от пользователя методами стеганографии. Картинку может содержать в себе опасный скрипт, который выполняется в браузере. Скрипт перенаправляет пользователя на сайт злоумышленников, на котором жертва скачивает вредоносное ПО под видом очередного обновления.
Если пользователь поймал вирус на свой телефон, Бедеров советует отключить заряженное устройство. Жертве необходимо с другого устройства сменить все свои логины и пароли к различным сервисам, а также отвязать от них зараженное устройство. Далее следует включить девайс вне своей домашней или офисной сети и проверить его антивирусом, а лучше полностью сбросить устройство до заводского состояния (hard reset) с полным удалением данных.
Чтобы обезопасить себя от подобных вирусов и мошенников, лучше всего использовать для хранения паролей к сервисам не браузер, а внешний сервис, наподобие LastPass, и установить повсеместно для входа в сервисы двухфакторную идентификацию на основе генератора кодов.
По мнению эксперта, подобная уязвимость приложения весьма опасна, ведь мошенник может использовать всю полученную информацию для дальнейшего вымогательства и мошенничества: от данных о логах пользователя и кражи доступов к сервисам — до перехвата сессий в мессенджерах и получение полного удаленного контроля над гаджетом.
Большая часть взломов, по словам эксперта, происходит путем фишинга через электронную почту. Пользователь получает письмо якобы от службы поддержки того или иного сервиса или интернет-магазина. Перейдя по ссылке и пройдя авторизацию, жертва теряет доступ к своему аккаунту.
— Бороться с фишингом можно путем проверки отправителя электронной почты: ее физического существования, соответствия доменного имени оригинальному сервису, наличием вредоносного содержимого или ссылок, а также вирусных файлов во вложении,— отмечает Бедеров.