Instagram: Sicherheitsforscher übernehmen App und Benutzerkonto

Die Sicherheitsforscher von Check Point wissen wieder einmal Neues zu berichten. So sei es ihnen gelungen, die Instagram App zu hacken. Durch einen Trick ließen sich anschließend nicht nur die Instagram-App und das Benutzerkonto übernehmen, sondern sogar das komplette Smartphone ausspionieren. Betroffen waren von dem Problem sowohl die Android- als auch die iOS-App.

Genutzt wurden dafür mit Malware verseuchte Bilder. Letztere wurden aber nicht zu Instagram hochgeladen, sondern per E-Mail, WhatsApp oder MMS an die Opfer geschickt. Auch andere Dienste sind dafür denkbar. Speichert der Anwender das jeweilige Foto, das passiert bei WhatsApp sogar als Standard, und öffnet dann die Instagram-App, wird die sonst schlummernde Malware aktiviert. Anschließend ist es für den Angreifer möglich, das Benutzerkonto zu kontrollieren.

Da die Instagram-App sich zudem allerlei Berechtigungen sichert, können Angreifer ein Smartphone weiter ausspionieren und etwa den Standort abrufen, die Kontakte auslesen und gespeicherte Dateien durchforsten. Die konkrete Sicherheitslücke geht auf Mozjpeg zurück, einem Open-Source-Decoder für jpeg-Bilder, den Instagram nutzt, um Bilder in die Anwendung zu laden. Hier hatte Instagram offenbar die Sicherheit nicht ausreichend geprüft.

Aktiv ist die Sicherheitslücke im Übrigen nicht mehr. Check Point entdeckte das Problem vor ca. einem halben Jahr, meldete es Facebook im Stillen und jene schlossen die Lücke kurz darauf. Man wartete allerdings aus Vorsicht noch eine Weile länger ab. Facebook hat die Lücke als CVE-2020-1895 aufgenommen.

Falls ihr da an allen technischen Hintergründen Interesse habt, dann schaut mal in diesen Post zum Thema herein. Da schlüsselt Check Point die Lücke noch einmal etwas komplexer auf.

• Check Point Research