AGI - Una vulnerabilità in Instagram avrebbe potuto permettere a un attaccante di prendere il controllo del profilo di un bersaglio, semplicemente inviandogli una fotografia opportunamente modificata in modo da inserire al suo interno una porzione di codice malevolo. Ne ha dato notizia l’azienda di sicurezza informatica Check Point Research che, una volta scoperto il problema, ha informato Facebook - proprietaria di Instagram - dando alla società sei mesi per rilasciare un aggiornamento e così correggere l’errore.
Secondo quanto riscontrato dagli esperti, “la vulnerabilità avrebbe permesso all’attaccante di inviare una fotografia malevola al bersaglio, utilizzando email, Whatsapp, sms o qualsiasi altra piattaforma di scambio dei contenuti (multimediali)”, si legge in una nota: “Qualora l’utente salvi la fotografia, anche la sola apertura dell’app di Instagram attiverebbe la vulnerabilità, dando all’attaccante pieno accesso al telefono del bersaglio, che potrebbe così prenderne il controllo da remoto”.
In un commento Facebook ha fatto sapere di aver risolto il problema e di non avere alcuna evidenza che questa vulnerabilità sia stata sfruttata per compiere degli abusi. Con oltre un miliardo di utenti, Instagram è uno dei social network più popolari per la condivisione di fotografie e video.
Come ricostruito dai ricercatori, un attaccante a conoscenza della vulnerabilità avrebbe potuto realizzare e inviare una immagine contenente il codice malevolo all’indirizzo del suo bersaglio. Qualora questo l’avesse poi salvata sul dispositivo (Whatsapp lo fa di default per i file multimediali ricevuti), alla sola apertura di Instagram, l’attaccante avrebbe potuto prendere possesso del profilo, leggendone da remoto i messaggi privati, i contatti e la geolocalizzazione e impedendo l’accesso al legittimo proprietario “fino a che l’app non viene disinstallata e reinstallata”.
All’origine del problema è una porzione di codice sviluppato da terze parti, liberamente utilizzabile, inserito dagli sviluppatori di Instagram all’interno dell’app. Per questa ragione, Check Point raccomanda maggiore attenzione quando si sceglie di utilizzare porzioni di codice sviluppate da altri, dal momento che potrebbero non esserne note le vulnerabilità e che queste potrebbero esporre anche il software che le ospita.
Una precedente vulnerabilità che ha interessato Instagram, rivelata per la prima volta da Forbes a novembre del 2019, avrebbe permesso a un attaccante di acquisire «i contatti di accesso dei profili e i numeri di telefono», rivelava la testata. Appena una settimana prima, un archivio contenente i numeri di telefono e i dettagli degli account di 419 milioni di utenti era stato trovato in rete.