Gefährliche Schwachstelle in Bildern entdeckt
In der Instagram-App werden täglich mehr als 100 Millionen Fotos hochgeladen. Kein Wunder also, das Hacker genau hier ansetzen und fremde Handys als Spionage-Tool nutzen.
Wie das funktioniert und wie Sie sich schützen können, erfahren Sie bei uns.
Instagram-App mit riesiger Nutzer-Gemeinde
Die täglich 100 Millionen neuen Fotos in der Instagram-App und die monatlich fast eine Milliarde aktiver Nutzer war der Grund für die Sicherheitsforscher von Check Point, sich die App einmal genauer anzuschauen und zu fragen: Wie sicher ist die App?
Immerhin zeigen Nutzer und Unternehmen mit Bildern und Nachrichten Infos über ihr Leben und ihre Produkte. Doch spätestens seit massenhaft Instagram-Accounts gehackt wurden, ist klar, dass Nutzer unbedingt die Zwei-Faktor-Authentifizierung nutzen sollen, um Fremden den Zugriff unmöglich zu machen.
Nun haben die Sicherheitsforscher von Check Point eine neue Möglichkeit entdeckt, mit Hacker nicht nur den Insta-Account, sondern gleich das gesamte Handy übernehmen und in ein Spionage-Tool umwandeln können. Alle Ergebnisse der Instagram-Untersuchung finden Sie (in englischer Sprache) im Check Point-Blog.
Malware-verseuchte Bilder ermöglichen Hackern den Zugriff auf Instagram und das gesamte Handy. Bild: pixabay.com #3198093 von TheDigitalArtist
Bösartige Bilddatei reicht für Zugriff auf Account
Mit einer einzigen bösartigen Bilddatei ist es den Hackern möglich, fremde Instagram-Accounts zu übernehmen und das gesamte Handy als Spionage-Tool zu verwenden. Betroffen sind sowohl Android- als auch iOS-Geräte.
Dabei machen wir es den Hackern mit unserer Handynutzung aber auch ziemlich leicht. Wie ein Schatten ist unser Handy immer bei uns. Standortabfragen, Gespräche mittels Mikrofonnutzung belauschen oder Chats auslesen – das alles wird für Hacker dadurch zum Kinderspiel.
Aber wie geht das? Mit einem einzigen verseuchten Bild, das Malware enthält. Dieses Bild wird per E-Mail, MMS oder WhatsApp an die Opfer gesendet. Andere Dienste sind ebenfalls denkbar. Speichern Sie das mit Malware verseuchte Bild in Ihrer Galerie (bei WhatsApp passiert das automatisch) und öffnen Sie dann Instagram, wird die Malware aktiv.
Viele App-Berechtigungen für Instagram-App
Instagram ist eine App, die von Haus aus eine ganze Menge an Berechtigungen einfordert. Die Instagram-App darf unter anderem den Standort abfragen, die Kontakte auslesen und gespeicherte Daten durchsuchen.
Grund für die Sicherheitslücke: Die Instagram-Entwickler nutzen Drittanbieter, die sich um Bild- und Tonprozesse kümmern. Im aktuellen Fall geht Sicherheitslücke auf einen Open-Source-Decoder für .jpeg-Dateien zurück, den die App nutzt, um Bilder hochzuladen. Offensichtlich hat Instagram die Sicherheit des Decoders nicht gründlich genug überprüft außerdem kann er als Open Source beliebig verändert werden, was zu Problemen führen kann.
Tröstlich zu wissen ist aber, dass die Sicherheitslücke mit der Nummer CVE-2020-1895 bereits geschlossen ist. Die Sicherheitsforscher haben Facebook als Mutterkonzern bereits informiert und der Social-Media-Riese reagierte schnell.
Prüfen Sie regelmäßig, welche App-Berechtigungen Ihre Apps haben. Bild: pixabay.com #4388310 von JerzyGorecki
App-Berechtigungen – das gilt es zu beachten
Beim Download von Apps aus den entsprechenden App Stores verlangen Apps zahlreiche App-Berechtigungen. Als Nutzer sollte man sich immer fragen, ob die geforderten Berechtigungen sinnvoll sind, um die Verwendung der App zu gewährleisten. Braucht beispielsweise eine Taschenlampe Zugriff auf die Kontakte? Muss ein Offline-Spiel den Standort abfragen?
Im Zweifelsfall sollten Sie Apps, die unnötige Berechtigungen fordern, nicht installieren und nach einer Alternative suchen. Was passiert, wenn Apps zu viele Berechtigungen haben, lesen Sie in unseren Blogbeiträgen Beauty Apps in der Kritik und Heimliche Bildschirmaufzeichnung.
Prüfen Sie in den Einstellungen Ihres Handys unter Apps, Berechtigungen oder Datenschutz (das variiert von Hersteller zu Hersteller), welche Berechtigungen Ihre Apps verlangen und verweigern Sie nicht notwendige Berechtigungen.
Application isolation und strict permissons
Die App-Berechtigungen zu überprüfen, ist eine gute Sicherheitsvorkehrung gegen Spionage durch Hacker. Erst recht, weil moderne Systeme nach dem Prinzip „application isolation“ handeln. Das bedeutet, dass Hacker, selbst wenn Sie Zugriff auf eine App bekommen, keine weiteren Anwendungen übernehmen können.
Außerdem gibt es das Prinzip der „strict permissions“. Eine muss eine Navigations-App Zugriff auf die Standortdaten haben, sollte aber keinen Zugang zum Mikrofon verlangen. Eine Dating-App dagegen darf Zugriff auf die Kamera bekommen, benötigt aber kein Auslesen der Kontakte. Überprüfen Sie, ob Ihre Apps die stengen Genehmigungen einhalten.