{"id":235952,"date":"2020-09-24T23:14:43","date_gmt":"2020-09-24T21:14:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235952"},"modified":"2023-04-11T07:23:27","modified_gmt":"2023-04-11T05:23:27","slug":"instagram-app-durch-bilder-mit-malware-geknackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/24\/instagram-app-durch-bilder-mit-malware-geknackt\/","title":{"rendered":"Instagram-App durch Bilder mit Malware geknackt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/09\/24\/instagram-app-durch-bilder-mit-malware-geknackt\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Sicherheitsforschern von Check Point ist es gelungen, die Instagram-App auf Smartphones zu attackieren, indem sie gelang Malware-verseuchte Bilder posteten. Damit war der Diebstahl von Kontenzugangsdaten und die \u00dcberwachung des Mobilger\u00e4ts m\u00f6glich. Die Schwachstelle ist inzwischen behoben.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/3b4483cccb1a47209c7f0040e4acb660\" alt=\"\" width=\"1\" height=\"1\" \/>Die Nachricht ist mir heute Mittag von den Check Point Sicherheitsforschern per Mail zugegangen. Instagram z\u00e4hlt derzeit \u00fcber eine Milliarde Nutzer weltweit. Daher haben sich die Check Point-Leute die beliebte Social-Media-Plattform <em>Instagram<\/em> vorgenommen und auf Schwachstellen abgeklopft. Dabei fanden sie eine gef\u00e4hrliche Schwachstelle. Mithilfe eines verseuchten Fotos konnten die Experten Nutzerkonten stehlen und Mobilger\u00e4te \u00fcberwachen.<\/p>\n<h2>Ein infiziertes Bild reicht f\u00fcr den Hack<\/h2>\n<p>Der Vorgang ist denkbar einfach: Angreifer mussten lediglich ein infiziertes Bild an einen Nutzer \u00fcber E-Mail, WhatsApp oder MMS schicken \u2013 oder eine andere Plattform ihrer Wahl. Sobald der Anwender das Bild speichert (was bei WhatsApp unter Werkseinstellungen automatisch geschieht) und die Instagram-App auf seinem Smartphone \u00f6ffnet, wird die Malware hinter dem Bild aktiviert. Auf diese Weise erh\u00e4lt der Angreifer volle Kontrolle \u00fcber das Mobilger\u00e4t des Opfers, um es fernzusteuern. Anschlie\u00dfend er\u00f6ffnen sich dem Angreifer verschiedene M\u00f6glichkeiten:<\/p>\n<ul>\n<li>Der Hacker kann die Instagram-App abst\u00fcrzen lassen und dem Nutzer solange den Zugriff darauf verwehren, bis diese gel\u00f6scht und erneut installiert wird. Das kann zu Daten-Verlust f\u00fchren.<\/li>\n<li>Au\u00dferdem erlangt der Hacker den Zugang zum Nutzerkonto des Opfers bei Instagram und kann dessen Nachrichten und Bilder einsehen, Fotos l\u00f6schen und neue ver\u00f6ffentlichen, sowie die Profildaten \u00e4ndern.<\/li>\n<li>Schlie\u00dflich kann er das Smartphone in eine Wanze verwandeln, weil die Instagram-App enorm viele Zugriffsberechtigungen auf verschiedene Funktionen des Smartphones fordert.<\/li>\n<\/ul>\n<p>Gerade der letztgenannte Punkt kommt dem Angreifer sehr gelegen, denn so erh\u00e4lt er Einsicht in die Kontakte, den GPS-Standort, die gespeicherten Dateien und kann die Kamera auslesen.<\/p>\n<h2>Fehler in Open-Source-Decoder Mozjpeg<\/h2>\n<p>Die konkrete Sicherheitsl\u00fccke fanden die Sicherheitsforscher in Mozjpeg, einem Open-Source-Decoder f\u00fcr jpeg-Bilder. Diesen nutzt Instagram, um Bilder in die Anwendung zu laden. Aus diesem Grund warnen die Experten alle Entwickler davor, solche Drittanbieterprogramme einzusetzen, ohne eingehend deren Sicherheit zu pr\u00fcfen.<\/p>\n<p>\u201eZum einen ergaben unsere Nachforschungen, dass die Programmdatenbanken von Drittanbietern ein gef\u00e4hrliches Einfallstor sein k\u00f6nnen. Daher empfehlen wir allen Entwicklern diese Software umfangreich zu pr\u00fcfen, bevor sie eingebunden wird und die gesamte App-Struktur gef\u00e4hrdet. Solche Drittanbieterprogramme aus Open-Source-Quellen sind weit verbreitet. Au\u00dferdem raten wir allen Nutzern dringend, sich dar\u00fcber zu informieren, welche oft weitreichenden Berechtigungen eine App bei der Installation erfordert. Das ist die st\u00e4rkste Verteidigungslinie gegen Smartphone-Attacken,\" erl\u00e4utert Yaniv Balmas, Head of Cyber Research bei Check Point Software Technologies.<\/p>\n<h2>Schwachstelle inzwischen beseitigt<\/h2>\n<p>Die Schwachstelle wurde von Check Point bereits vor sechs Monaten entdeckt und an Facebook, den Eigner von Instagram, gemeldet. Die L\u00fccke wurde bald darauf geschlossen, doch Check Point entschied sich zur langen Wartezeit, um keine Nutzer zu gef\u00e4hrden. Die Sicherheitsforscher hofften, dass mittlerweile alle Anwender die Patches installiert haben w\u00fcrden. Facebook hat die L\u00fccke als <a href=\"https:\/\/m.facebook.com\/security\/advisories\/cve-2020-1895\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-1895<\/a> aufgenommen. Einen \u00dcberblick der Nachforschung findet sich im Check Point-Blog in <a href=\"https:\/\/web.archive.org\/web\/20221004093141\/https:\/\/blog.checkpoint.com\/2020\/09\/24\/instahack-how-researchers-were-able-to-take-over-the-instagram-app-using-a-malicious-image\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a>. Technische Einzelheiten lassen sich <a href=\"https:\/\/web.archive.org\/web\/20221228011547\/https:\/\/research.checkpoint.com\/2020\/instagram_rce-code-execution-vulnerability-in-instagram-app-for-android-and-ios\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier nachlesen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforschern von Check Point ist es gelungen, die Instagram-App auf Smartphones zu attackieren, indem sie gelang Malware-verseuchte Bilder posteten. Damit war der Diebstahl von Kontenzugangsdaten und die \u00dcberwachung des Mobilger\u00e4ts m\u00f6glich. Die Schwachstelle ist inzwischen behoben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1440,426],"tags":[4346,3920,4328],"class_list":["post-235952","post","type-post","status-publish","format-standard","hentry","category-app","category-sicherheit","tag-app","tag-instagram","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235952","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235952"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235952\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235952"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235952"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235952"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}