Instagram o Instahacking? Basta un click sull'immagine sbagliata
Come lavorano gli hacker che rubano i nostri profili ed i nostri smartphones
Instagram è il social del momento, a livello globale la piattaforma riesce a registrare oltre 100 milioni di foto caricate ogni giorno e più di un miliardo di utenti attivi ogni mese.
E non parliamo solamente di utenti privati, ma anche di aziende piccole e grandi fino alle multinazionali. Messaggi tra conoscenti, foto delle vacanze, ma anche nuovi prodotti e campagne marketing. Il volume di traffico e l'attenzione dedicata a Instagram è altissima.
Immaginiamoci allora cosa potrebbe accadere se un Criminal hacker fosse in grado di prendere completamente il controllo di un account Instagram e di accedere a tutti i messaggi e le foto presenti, pubblicarne di nuove o cancellare o manipolare le foto esistenti. Che cosa potrebbe fare questo alla reputazione di una persona o di un'azienda?
È la domanda che si sono posti i ricercatori di sicurezza di Checkpoint all'inizio di quest'anno quando hanno scoperto che, a causa di un bug, semplicemente inviando un'immagine corrotta avrebbero potuto prendere il controllo dell'account Instagram del destinatario e trasformare il suo cellulare in uno strumento di spionaggio.
Cosa succede?
Quando l'immagine, modificata ad-hoc, viene salvata e aperta nell'app, istantaneamente il Criminal Hacker acquista il pieno controllo dell'account. Oltre ai già citati messaggi e foto, Instagram apre la porta per accedere alla rubrica dei contatti, alla fotocamera e alle posizioni.
In questo modo il dispositivo ci viene "rivoltato" contro: oltre a consentire una manipolazione malevola del nostro profilo Instagram diviene occhi e orecchie di qualcun altro!In entrambi i casi, l'attacco potrebbe portare a una massiccia invasione della privacy degli utenti e potrebbe influire sulla loro reputazione o portare a rischi di sicurezza ancora più gravi.
A livello di base, questo bug può essere utilizzato per far crashare l'app Instagram di un utente, negandogli di fatto l'accesso all'app fino a quando non la cancellerà dal suo dispositivo e la reinstallerà, causando disagi e possibili perdite di dati.
Ma com'è possibile che una semplice app abbia accesso a così tanti dati?
Prima di spiegarlo, facciamo un passo indietro e pensiamo cosa rappresenta il nostro Smartphone non solo per noi, ma anche per chi potrebbe essere interessato a sfruttare il bug di Instagram. Ovunque andiamo, i nostri telefoni sono con noi per restare in contatto con tutti: amici, familiari e colleghi. Sono un'estensione digitale irrinunciabile del nostro corpo e come tale immagazzinano tutte le informazioni che da qui transitano. Questo li rende un bersaglio molto ghiotto per i criminali informatici. Non solo possono rubare i dati che noi crediamo di tenerci al sicuro nella nostra tasca, ma possono anche utilizzare il cellulare per spiarci, rintracciarci ovunque noi siamo e accedere ad ogni singola comunicazione.
Fortunatamente tutti i sistemi operativi dei nostri cellulari includono diversi livelli di protezione contro questi pericoli. Il principale di questi è il concetto di "isolamento"; detto in parole semplici, se un'applicazione viene "bucata" da un Criminal Hacker sarà impossibile per loro accedere a qualsiasi cosa oltre a questa, il tutto grazie ai permessi che noi le concediamo.Una questione di permessiEcco questa è il passaggio chiave: permessi. Se scarichiamo un'applicazione come una mappa, questa dovrebbe avere accesso solo alla nostra posizione, non al nostro microfono, alla nostra rubrica e tantomeno alla nostra fotocamera…
Ma cosa succede quando parliamo di un'applicazione che ha ampie autorizzazioni?
Se l'applicazione viene violata, il Criminal Hacker avrà facile accesso ai dati GPS, alla fotocamera, al microfono, ai contatti e altro ancora.
Fortunatamente, non c'è una lista enorme di applicazioni che hanno permessi così estesi. Ma, avrete capito, Instagram è una di queste. Proprio questo ha spinto i ricercatori a iniziare l'indagine che ha portato alla luce la vulnerabilità. Una disattenzione? Ma com'è possibile che un'applicazione come Instagram – che ricordiamo fa capo a Facebook – con tutte le risorse investite nel suo sviluppo possa avere delle vulnerabilità così estese?
La verità che molti non conoscono è che per sviluppare un app qualsiasi oggi il codice non viene scritto interamente dagli sviluppatori – questo richiederebbe anni e anni! – ma viene preso in prestito da delle "biblioteche" digitali (soprattutto per compiti complessi come connettività di rete…).
Questa pratica da il tempo agli sviluppatori di concentrarsi sul cuore delle loro creazioni, ma rende necessario che questi codici presi in prestito siano completamente al sicuro. E, avrete compreso, nel caso di Instagram non lo erano!
Una storia a lieto fine
Per fortuna non c'è bisogno di correre a cancellare per sempre l'applicazione. I ricercatori della Checkpoint hanno divulgato le loro scoperte a Facebook e al team di Instagram immediatamente e soprattutto in maniera responsabile (senza rendere pubblica la loro scoperta). È stata quindi subito emessa una patch per risolvere il problema su tutte le piattaforme. La patch per questa vulnerabilità è già disponibile da 6 mesi (!) e probabilmente quasi tutti noi l'abbiamo già installata senza neanche accorgercene. Per chi ancora non l'abbia fatto, naturalmente, l'imperativo di aggiornare al più presto Instagram.In ogni caso, questa storia ci ricorda come nessuna applicazione sia infallibile e come anche i "giganti" possano avere dei punti deboli.
L'imperativo quindi rimane Non abbassiamo la guardia!
AGGIORNAMENTO
Dopo aver pubblicato questo articolo siamo stati contatti dall'ufficio stampa di Instagram Italia che ha chiesto di aggiornare l'articolo con il loro commento ufficiale sulla vicenda:
"Check Point's report overstates a bug, which we fixed quickly and have no reason to believe impacted anyone. Through their own investigation Check Point was unable to successfully exploit this bug."
In italiano: "La ricerca di Checkpoint ha sovrastimato la gravità di un bug che abbiamo risolto in fretta e che crediamo non abbia impattato nessuno. Anche attraverso la loro investigazione Checkpoint non è riuscita a sfruttare questo bug".