Instagram iOS ve Android Sürümlerindeki Önemli Güvenlik Açığı

İlkbahar aylarında Instagram’ın iOS ve Android sürümlerinde kritik bir güvenlik açığı tespit edilmişti. Bu güvenlik açığı, bir saldırganın maksat kullanıcının datalarına erişmesini, kullanıcının Instagram’a erişimini engellemesini, kullanıcının hesabı üzerinde tam denetim sağlamasını ve hatta taşınabilir aygıt üzerinde tam denetim sağlamasına neden oluyordu. Bu güvenlik açığı kapatılmış olsa da yapılan yeni açıklamalar, açığın nasıl sömürülebileceğini teknik olarak açıklıyor.

Yapılan açıklamalara nazaran Instagram’ın güvenlik açığını kullanabilmek çok kolaydı. Bir saldırgan, özel bir manzara oluşturarak bu imgeyi hedeflediği kullanıcıya gönderirse, güvenlik açığı nedeniyle geniş kapsamlı bir erişim hakkının kapıları açılmış oluyordu. Amaçtaki kullanıcının ilgili görseli telefonuna kaydetmesi de süreci başlatıyor ve bilgisayar korsanı, amacındaki kullanıcının tüm datalarına erişebiliyordu.

Instagram’ın kritik değer arz eden güvenlik açığı, Check Point isimli siber güvenlik şirketi tarafından keşfedildi. Şirket, bu güvenlik açığını Facebook’a bildirdikten sonra da gerekli süreçler başlatıldı ve açık kapatıldı. Lakin bu güvenlik açığıyla ilgili teknik açıklamalar yapan Check Point, güvenlik açıklarının aslında ne kadar kolay sömürülebildiğini, kullanıcıların nasıl bir risk altında olduklarının anlaşılmasını sağlıyor.

Check Point’ten Gal Elbaz tarafından hazırlanan teknik rapora nazaran Instagram’ın güvenlik açığına neden olan şey, üçüncü taraf kod entegrasyonuydu. Siber güvenlik uzmanı, Instagram’da da kullanılan Mozjpeg isimli bir açık kaynak kodlu JPEG kodlayıcısının, bu güvenlik açığına neden olduğunu söylüyor. Instagram, bu kodlayıcı üzerinden daha küçük boyutlu olduğunu düşündüğü lakin aslında çok büyük olan bir görseli yüklemeye çalışıyor bu da çökmeye neden oluyordu. Bu cins bir aksaklık, “yığın arabellek taşması” olarak da biliniyor.

  • Not: Mozjpeg isimli açık kaynak kodlu JPEG kodlayıcısı, Mozilla ve Facebook tarafından ortak olarak geliştirildi. Bu kodlayıcının dikkat çeken özelliği, JPEG uzantılı belgeleri (yani pek çok fotoğrafı) daha küçük boyutlarda oluştururken, kalite kaybı yaşatmamasıydı. Bu sayede hem Mozilla ve Facebook’un veritabanları rahatlayacak hem de kullanıcılara daha süratli bir görsel yükleme tecrübesi sunulacaktı.

Check Point tarafından hazırlanan rapora nazaran uzmanlar, Mozjpeg’in kodlarını, JPEG kodlayıcının Instagram’ı etkileyip etkilemeyeceğini anlamak için araştırmışlar. İşte kelam konusu kritik güvenlik açığı da bu araştırmalar sırasında ortaya çıkmış. Elbaz, oluşturduğu raporda güvenlik açığının hangi kod çalışırken sömürüldüğünü de paylaşıyor;

*Sarı renkli okla belirtilen kod, “yığın arabellek taşması” sıkıntısının kaynaklanmasına yol açıyor.

Elbaz, bir bilgisayar korsanının kelam konusu güvenlik açığından faydalanabilmek için 2^32 bytetan daha büyük bir boyut belirtmesi gerektiğini söz ediyor. İşte bu kaidelere uyan bir manzara oluşturup bu imgeyi maksat kullanıcıya gönderen bir saldırgan, maksada Instagram üzerinden ulaşmış oluyordu. Hatta Elbaz’e nazaran bir bilgisayar korsanı, bu güvenlik açığından faydalanarak kendi kodlarını bile yürütebilir.

Kelam konusu güvenlik açığının işleyişini şu halde özetlemek mümkün

  • Kurbana, koşulları sağlayan bir imaj gönderin. Bu manzara SMS, WhatsApp ya da e-posta uygulamaları aracılığıyla gönderilebilir.
  • Manzara, telefona kaydedildikten sonra kurbanın Instagram’a giriş yapmasını bekleyin.
  • Kurban, Instagram’a erişmeye çalıştığında uygulama çökecek. Bu süreçte de güvenlik açığından farklı biçimlerde faydalanılabilir.

İşte bu teknik rapor, güvenlik açıklarının kullanıcıları nasıl kolay bir biçimde kurban haline gelebileceklerini gösteriyor. Ayrıyeten üstteki anlattığımız süreçleri genişletmek de mümkün. Yani kelam konusu güvenlik açığının çok daha fazlasına yol açma ihtimali var. Lakin Check Point, güvenlik açığını Facebook’a bildirdikten sonra bu açık üzerinde çalışmayı bırakmış. Zira güvenlik açığı süratlice kapatılıp, risk ortadan kalkmış.