Instagram, scoperta nei giorni scorsi una falla nella sicurezza della App di photo sharing di proprietà di Facebook, un bug che avrebbe permesso agli hacker di penetrare negli smartphone “vittima” semplicemente inviando una particolare immagine in JPEG, tramite WhatsApp o altra App di messaggistica istantanea o email.

L’anomalia, classificata come CVE-2020-1895 avrebbe permesso ai cyber criminali di bloccare l’accesso a Instagram sul telefono bucato, spiare le attività sul dispositivo o addirittura assumere il controllo dell’account stesso.

CVE-2020-1895, ora risolta dagli sviluppatori, creava un errore di heap buffer overflow quando Instagram tentava di gestire immagini di grandi dimensioni.

Una debolezza dell’encoder opensource per i JPEG utilizzato da Instagram, MozJPEG, che permette all’App di consumare meno banda comprimendo le immagini di dimensioni eccessive.

Come dimostrato dal team di CheckPoint, la falla permetteva l’esecuzione da remoto di un codice che permetteva agli hacker di penetrare nello smartphone hackerato sfruttando i permessi che Instagram prevede per l’utilizzo di fotocamera, contatti, geolocalizzazione, gallery fotografiche e microfono.

Un bug di Instagram trasforma lo smartphone in spia? Ecco come

Un heap overflow di grandi dimensioni potrebbe verificarsi quando si tenta con Instagram di caricare una data immagine opportunamente modificata per avviare il bug“, sia su Android che su iOS, come riportato dal report di Facebook.

Tramite il bug, gli hacker avrebbero potuto prendere controllo della porzione di memoria riservata all’immagine, per poi riscriverne le dimensioni una volta caricata su Instagram, e di conseguenza l’intera parte di memoria occupata.

In questo modo, l’intruso avrebbe potuto prendere il controllo dell’intera App e relativi accessi al telefono, bloccandola ed escludendo il titolare dell’account.

instagram bug heap overflow
Ecco dove era allocato l’heap overflow, immagine da TheHackerNews.com

Secondo i report, la falla potenzialmente pericolosa si è manifestata sulle versioni di Intagram precedenti alla release 128.0.0.26.128, e corretta già a febbraio 2020 con una patch. L’avviso è stato reso pubblico solo in questi giorni dopo una finestra di 6 mesi concessa agli utenti di IG per installare la versione aggiornata e più sicura dell’App.

Instagram e sicurezza: aggiornare sempre le versioni, e attenzione ai permessi!

Come riportato da CheckPoint, ogni giorno su Instagram vengono caricate oltre 100 milioni di immagini da oltre un miliardo di utenti attivi ogni mese.

Numeri che danno un’idea del danno di privacy e sicurezza potenziale che tali bug possono arrecare ai nostri dispositivi. L’arma principale per proteggersi dai malintenzionati resta quella di aggiornare costantemente le App ed i sistemi operativi degli smartphone, e valutare a quali App garantire gli accessi a contatti, fotocamera e archivi.

Nel caso di App diffusissime come Instagram, Facebook, WhatsApp, TikTok, Snapchat, Twitter o altre come Amazon Mobile o Netflix, per un corretto uso è solitamente d’uso concedere il massimo accesso alle library e dispositivi dei nostri smartphone.

E’ pratica inoltre comune delle App e degli sviluppatori più importanti delegare lo sviluppo di encoder (come nel caso di MozJPEG) per l’esecuzione di file audio e video e non solo, a parti terze. Ed è qui che si genera un punto potenzialmente debole – e vulnerabile – della catena di sviluppo e funzionamento anche di App sicure come Instagram.

Anche in questi casi perciò è sempre bene chiedersi quali di questi accessi siano davvero utili alla App ed al suo utilizzo, e negare quelli che non lo sono.