Instagram: Sicherheitsforscher übernehmen App und Benutzerkonto

Die Sicherheitsforscher von Check Point wissen wieder einmal Neues zu berichten. So sei es ihnen gelungen, die Instagram App zu hacken. Durch einen Trick ließen sich anschließend nicht nur die Instagram-App und das Benutzerkonto übernehmen, sondern sogar das komplette Smartphone ausspionieren. Betroffen waren von dem Problem sowohl die Android- als auch die iOS-App.

Genutzt wurden dafür mit Malware verseuchte Bilder. Letztere wurden aber nicht zu Instagram hochgeladen, sondern per E-Mail, WhatsApp oder MMS an die Opfer geschickt. Auch andere Dienste sind dafür denkbar. Speichert der Anwender das jeweilige Foto, das passiert bei WhatsApp sogar als Standard, und öffnet dann die Instagram-App, wird die sonst schlummernde Malware aktiviert. Anschließend ist es für den Angreifer möglich, das Benutzerkonto zu kontrollieren.

Da die Instagram-App sich zudem allerlei Berechtigungen sichert, können Angreifer ein Smartphone weiter ausspionieren und etwa den Standort abrufen, die Kontakte auslesen und gespeicherte Dateien durchforsten. Die konkrete Sicherheitslücke geht auf Mozjpeg zurück, einem Open-Source-Decoder für jpeg-Bilder, den Instagram nutzt, um Bilder in die Anwendung zu laden. Hier hatte Instagram offenbar die Sicherheit nicht ausreichend geprüft.

Aktiv ist die Sicherheitslücke im Übrigen nicht mehr. Check Point entdeckte das Problem vor ca. einem halben Jahr, meldete es Facebook im Stillen und jene schlossen die Lücke kurz darauf. Man wartete allerdings aus Vorsicht noch eine Weile länger ab. Facebook hat die Lücke als CVE-2020-1895 aufgenommen.

Falls ihr da an allen technischen Hintergründen Interesse habt, dann schaut mal in diesen Post zum Thema herein. Da schlüsselt Check Point die Lücke noch einmal etwas komplexer auf.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

2 Kommentare

  1. Thematisch vielleicht ganz passend: die Webseite von Instagram lässt sich mobil ganz hervorragend verwenden. Abgesehen vom Editor bin ich mir gar nicht sicher ob ein großer Unterschied im Funktionsumfang zur nativen App besteht.

    Wenn man dort also keine Inhalte erzeugt: unbedingt mal ausprobieren!

    Mit Firefox kann man auf diese Weise dort sogar die unerträgliche Werbung blockieren.

  2. Wahrhaftig eine unheimlich schwere Sicherheitslücke……. längst geschlossen und gepatched.
    Wer natürlich seine installierten Apps nicht updated, hat selbst schuld

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.