Jakarta (PARADE.ID)- Peneliti keamanan siber Check Point Security baru-baru ini menemukan sebuah celah keamanan (bug) yang sangat berbahaya di Instagram. Bagaimana tidak, celah itu tidak hanya bisa dipakai untuk mengambil alih akun Instagram, tetapi juga bisa dimanfaatkan oleh peretas untuk menguasai ponsel pemilik akun Instagram dari jarak jauh seperti membajak kameranya, mikrofon, data lokasi dan lainnya.
Dikutip dari ZDNet, Check Point menemukan kerentanan itu lewat pemrosesan gambar Instagram.
Serangan ini dapat dipicu setelah gambar dikirim melalui email, WhatsApp, SMS, atau platform komunikasi lainnya dan kemudian disimpan ke perangkat korban. Tidak peduli gambar disimpan secara lokal atau manual, hanya dengan membuka Instagram sesudahnya sudah cukup untuk mengeksekusi kode berbahaya.
Menurut peneliti keamanan Check Point, yang menjadi masalah adalah bagaimana Instagram menangani pustaka pihak ketiga yang digunakan untuk pemrosesan gambar. Check Point berfokus pada Mozjpeg, dekoder JPEG open source yang dikembangkan oleh Mozilla, yang tidak digunakan dengan benar oleh Instagram untuk menangani unggahan gambar.
File gambar yang dibuat dapat berisi muatan yang dapat memanfaatkan daftar izin Instagram yang ekstensif di perangkat seluler, memberikan akses ke sumber daya apa pun di ponsel yang sebelumnya diizinkan oleh Instagram. Ini dapat mencakup akses ke kontak telepon perangkat, data lokasi/GPS, kamera, dan file yang disimpan secara lokal. Di aplikasi Instagram itu sendiri, kerentanan RCE juga dapat digunakan untuk mencegat pesan langsung dan membacanya, hapus atau posting foto tanpa izin, atau ubah pengaturan akun.
“Pada tingkat paling dasar, eksploitasi dapat digunakan untuk merusak aplikasi Instagram pengguna, menolak akses mereka ke aplikasi sampai mereka menghapusnya dari perangkat mereka dan menginstalnya kembali, menyebabkan ketidaknyamanan dan kemungkinan kehilangan data,”tulis peneliti Check Point.
Publikasi kerentanan ini dibuat enam bulan setelah bug itu terungkap untuk memberi waktu pengguna Instagram mendapat pembaruan aplikasi dan mengurangi risiko eksploitasi.
Setelah dilaporkan Check Point, Istagram telah menambal celah ini lewat pembaruan aplikasi. Laporan lengkapnya dapat diakses di sini.
Menurut penasihat keamanan Facebook, perusahaan induk Instagram, kerentanan tersebut diidentifikasi sebagai CVE-2020-1895 dengan skor CVSS 7,8 dan menjadi masalah heap overflow.
“Heap overflow yang besar dapat terjadi di Instagram untuk Android saat mencoba mengupload gambar dengan dimensi yang dibuat secara khusus. Ini memengaruhi versi sebelum 128.0.0.26.128,” ungkap penasihat keamanan facebook tersebut.
“Kami telah memperbaiki masalah ini dan belum melihat adanya bukti peretasan,” kata Facebook. “Kami berterima kasih atas bantuan Check Point dalam menjaga keamanan Instagram.”
(Cyberthreat/PARADE.ID)
