Bagi pengguna Instagram yang belum update atau melakukan patch, sebaiknya segera lakukan, karena cacat Instagram yang kritis memungkinkan peretas melakukan Remote Code Execution (RCE) eksekusi kode jarak jauh dan mengakses kamera korban, mikrofon, dan komponen lainnya.
Kerentanan CVE-2020-1895 ditemui di aplikasi Instagram di Android dan iOS. Ditemukan pada awal Februari dan dilaporkan ke Facebook, sebagai pemilik Instagram kemudian mengeluarkan tambalan atau patch.
Sekarang perbaikan telah tersedia selama enam bulan, berikut bagaimana kerentanan ini bekerja dan dapat mempengaruhi pengguna platform medsos tersebut. Berikut ESET akan membahasnya.
Seperti kita ketahui bersama, bahwa semua media sosial di zaman sekarang telah menjadi target yang paling diincar dan diinginkan, Instagram tentu saja salah satunya.
Cara kerja eksploitasi
Seperti banyak perusahaan perangkat lunak, Instagram mengintegrasikan proyek open source pihak ketiga ke dalam perangkat lunaknya. Cacat ini ada dalam caranya menggunakan Mozjpeg, proyek publik yang dibangun oleh Mozilla yang berfungsi sebagai dekoder format JPEG Instagram untuk gambar yang diunggah ke aplikasi berbagi foto.
Peretas yang ingin mengeksploitasi kerentanan hanya perlu mengirim gambar ke perangkat korban melalui WhatsApp, teks, email, atau layanan perpesanan lainnya, korban menyimpan gambar tersebut ke ponsel mereka, lain kali orang itu membuka Instagram, eksploitasi terjadi dan memberikan izin peretas untuk sumber daya apa pun di ponsel yang dapat diakses Instagram.
Ini mencakup kamera perangkat, layanan GPS/lokasi, kontak, dan penyimpanan, antara lain. Di dalam aplikasi Instagram, peretas dapat melakukan tindakan atas nama pengguna, termasuk membaca pesan, memposting dan menghapus foto, atau menghapus aplikasi.
Untuk mengeksploitasi bug, gambar harus dikirim dengan dimensi yang salah. Facebook mendeskripsikan masalah tersebut sebagai “integer overflow to buffer overflow” dan mengatakan “large heap overflow” dapat terjadi saat mencoba mengupload gambar dengan dimensi yang dibuat secara khusus. Ini mempengaruhi versi Instagram sebelum 128.0.0.26.128.
Eksploitasi tersebut tidak akan efektif pada ponsel dengan izin untuk Instagram dinonaktifkan. Namun, hal itu akan mengurangi fungsionalitas aplikasi. Jika Instagram tidak memiliki izin apa pun, eksploitnya tidak akan berguna, tetapi Instagram juga tidak akan berguna tanpa izin tersebut.
Kerentanan tersebut tidak mudah ditemukan dan dieksploitasi, tapi cukup mudah bagi peretas untuk memanfaatkannya sekarang setelah ditemukan.
Perhatian untuk medsos
Kenapa instagram diilih karena basis penggunanya yang besar, yang menjadikannya target peretas yang menarik. Namun, ini menunjukkan pola penjahat yang berusaha mencari kerentanan yang akan memberi mereka akses perangkat yang lebih luas.
Ini menjadi tren dimana peretas mencoba mencari aplikasi dengan izin yang berlebihan, dan itu masalah yang dimiliki Instagram, instagram memiliki semua izin tersebut, kamera, mikrofon, GPS, kontak.
Semua hal itu, jika Anda berhasil memanfaatkan aplikasi ini, Anda tidak perlu mengeksploitasi seluruh ponsel. Dengan akses ke izin aplikasi seperti Instagram, peretas memiliki kebebasan untuk menjelajahi banyak fitur pada perangkat target.
Kerentanan khusus ini ada pada cara Instagram menggunakan Mozjpeg, dan bukan dalam proyek open source itu sendiri. Meskipun demikian, bahwa penting bagi perusahaan untuk memeriksa kode pihak ketiga yang mereka gunakan dalam aplikasi mereka dengan cermat.
Dengan melihat open source library yang digunakan sebagai bagian dari kode platform, karena itu adalah bagian dari kode Anda, dengan memperlakukan kode open source seperti yang dia lakukan pada kode produk yang dia tulis, dengan pengujian penetrasi dan pemeriksaan menyeluruh.