Mobil Haberleri

Instagram iOS ve Akıllı Telefon Devi Android Sürümlerindeki Önemli Güvenlik Açığı

3 Dakika okuma

İlkbahar aylarında Instagram’ın iOS ve Akıllı Telefon Devi Android sürümlerinde kritik bir güvenlik açığı tespit edilmişti. Bu güvenlik açığı, bir saldırganın gaye kullanıcının bilgilerine erişmesini, kullanıcının Instagram’a erişimini engellemesini, kullanıcının hesabı üzerinde tam denetim sağlamasını ve hatta taşınabilir aygıt üzerinde tam denetim sağlamasına neden oluyordu. Bu güvenlik açığı kapatılmış olsa da yapılan çok yeni açıklamalar, açığın nasıl sömürülebileceğini teknik olarak açıklıyor.

Yapılan açıklamalara nazaran Instagram’ın güvenlik açığını kullanabilmek çok kolaydı. Bir saldırgan, özel bir imaj oluşturarak bu imgeyi hedeflediği kullanıcıya gönderirse, güvenlik açığı nedeniyle geniş kapsamlı bir erişim hakkının kapıları açılmış oluyordu. Amaçtaki kullanıcının ilgili görseli telefonuna kaydetmesi de süreci başlatıyor ve bilgisayar korsanı, amacındaki kullanıcının tüm bilgilerine erişebiliyordu.

Instagram’ın kritik kıymet arz eden güvenlik açığı, Check Point isimli siber güvenlik şirketi tarafından keşfedildi. Şirket, bu güvenlik açığını Facebook’a bildirdikten sonra da gerekli süreçler başlatıldı ve açık kapatıldı. Fakat bu güvenlik açığıyla ilgili teknik açıklamalar yapan Check Point, güvenlik açıklarının aslında ne kadar kolay sömürülebildiğini, kullanıcıların nasıl bir risk altında olduklarının anlaşılmasını sağlıyor.

Check Point’ten Gal Elbaz tarafından hazırlanan teknik rapora nazaran Instagram’ın güvenlik açığına neden olan şey, üçüncü taraf kod entegrasyonuydu. Siber güvenlik uzmanı, Instagram’da da kullanılan Mozjpeg isimli bir açık kaynak kodlu JPEG kodlayıcısının, bu güvenlik açığına neden olduğunu söylüyor. Instagram, bu kodlayıcı üzerinden daha küçük boyutlu olduğunu düşündüğü lakin aslında çok Dev olan bir görseli yüklemeye çalışıyor bu da çökmeye neden oluyordu. Bu çeşit bir aksaklık, “yığın arabellek taşması” olarak da biliniyor.

  • Not: Mozjpeg isimli açık kaynak kodlu JPEG kodlayıcısı, Mozilla ve Facebook tarafından ortak olarak geliştirildi. Bu kodlayıcının dikkat çeken özelliği, JPEG uzantılı belgeleri (yani pek çok fotoğrafı) daha küçük boyutlarda oluştururken, kalite kaybı yaşatmamasıydı. Bu sayede hem Mozilla ve Facebook’un veritabanları rahatlayacak hem de kullanıcılara daha süratli bir görsel yükleme tecrübesi sunulacaktı.

Check Point tarafından hazırlanan rapora nazaran uzmanlar, Mozjpeg’in kodlarını, JPEG kodlayıcının Instagram’ı etkileyip etkilemeyeceğini anlamak için araştırmışlar. İşte kelam konusu kritik güvenlik açığı da bu araştırmalar sırasında ortaya çıkmış. Elbaz, oluşturduğu raporda güvenlik açığının hangi kod çalışırken sömürüldüğünü de paylaşıyor;

*Sarı renkli okla belirtilen kod, “yığın arabellek taşması” sıkıntısının kaynaklanmasına yol açıyor.

Elbaz, bir bilgisayar korsanının kelam konusu güvenlik açığından faydalanabilmek için 2^32 bytetan daha Dev bir boyut belirtmesi gerektiğini söz ediyor. İşte bu kurallara uyan bir manzara oluşturup bu imgeyi maksat kullanıcıya gönderen bir saldırgan, amaca Instagram üzerinden ulaşmış oluyordu. Hatta Elbaz’e nazaran bir bilgisayar korsanı, bu güvenlik açığından faydalanarak kendi kodlarını bile yürütebilir.

Kelam konusu güvenlik açığının işleyişini şu biçimde özetlemek mümkün

  • Kurbana, kaideleri sağlayan bir manzara gönderin. Bu manzara SMS, WhatsApp ya da e-posta aplikasyonları aracılığıyla gönderilebilir.
  • Manzara, telefona kaydedildikten sonra kurbanın Instagram’a giriş yapmasını bekleyin.
  • Kurban, Instagram’a erişmeye çalıştığında aplikasyon çökecek. Bu süreçte de güvenlik açığından farklı hallerde faydalanılabilir.

İşte bu teknik rapor, güvenlik açıklarının kullanıcıları nasıl kolay bir biçimde kurban haline gelebileceklerini gösteriyor. Ayrıyeten üstteki anlattığımız süreçleri genişletmek de mümkün. Yani kelam konusu güvenlik açığının çok daha fazlasına yol açma ihtimali var. Lakin Check Point, güvenlik açığını Facebook’a bildirdikten sonra bu açık üzerinde çalışmayı bırakmış. Zira güvenlik açığı süratlice kapatılıp, risk ortadan kalkmış.

   Bizi Google News'den takip edin

Benzer Yazılar
Mobil Haberleri

Apple aygıtları Intercom özelliğine geçiş yapıyor

1 Dakika okuma
Meskende yemek hazır olduğunda annemizin meskene yahut bahçeye hakikat seslenerek aile bireylerini sofraya çağırdığına daima şahit oluyoruz …
Mobil Haberleri

iPhone 12 Pro batarya sorunu ile gündemde!

1 Dakika okuma
Teknoloji dünyası uzun vakittir Apple’ın çok çok yeni kuşak iPhone modellerini bekliyordu. Koronavirüs pandemisi sebebi ile ortaya çıkan …
Mobil Haberleri

Akıllı Telefon devi Akıllı Telefon devi Akıllı Telefon Devi Android 11 alacak Huawei telefon modelleri! (Liste genişliyor!)

2 Dakika okuma
Akıllı Telefon devi Akıllı Telefon devi Akıllı Telefon Devi Android 11 alacak olan Huawei modellerini sizler için listeledik! İşte o modeller …
Numlock.tech bültenine katıl!

Haber ve yeniliklerden ilk sen haberdar ol.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir