İlkbahar aylarında Instagram'ın iOS ve Android surumlerinde kritik bir guvenlik acığı tespit edilmişti. Bu guvenlik acığı, bir saldırganın hedef kullanıcının verilerine erişmesini, kullanıcının Instagram'a erişimini engellemesini, kullanıcının hesabı uzerinde tam kontrol sağlamasını ve hatta mobil cihaz uzerinde tam kontrol sağlamasına neden oluyordu. Bu guvenlik acığı kapatılmış olsa da yapılan yeni acıklamalar, acığın nasıl somurulebileceğini teknik olarak acıklıyor.
Yapılan acıklamalara gore Instagram'ın guvenlik acığını kullanabilmek cok basitti. Bir saldırgan, ozel bir goruntu oluşturarak bu goruntuyu hedeflediği kullanıcıya gonderirse, guvenlik acığı nedeniyle geniş kapsamlı bir erişim hakkının kapıları acılmış oluyordu. Hedefteki kullanıcının ilgili gorseli telefonuna kaydetmesi de sureci başlatıyor ve bilgisayar korsanı, hedefindeki kullanıcının tum verilerine erişebiliyordu.

Instagram'ın kritik onem arz eden guvenlik acığı, Check Point isimli siber guvenlik şirketi tarafından keşfedildi. Şirket, bu guvenlik acığını Facebook'a bildirdikten sonra da gerekli işlemler başlatıldı ve acık kapatıldı. Ancak bu guvenlik acığıyla ilgili teknik acıklamalar yapan Check Point, guvenlik acıklarının aslında ne kadar kolay somurulebildiğini, kullanıcıların nasıl bir risk altında olduklarının anlaşılmasını sağlıyor.
Check Point'ten Gal Elbaz tarafından hazırlanan teknik rapora gore Instagram'ın guvenlik acığına neden olan şey, ucuncu taraf kod entegrasyonuydu. Siber guvenlik uzmanı, Instagram'da da kullanılan Mozjpeg isimli bir acık kaynak kodlu JPEG kodlayıcısının, bu guvenlik acığına neden olduğunu soyluyor. Instagram, bu kodlayıcı uzerinden daha kucuk boyutlu olduğunu duşunduğu ancak aslında cok buyuk olan bir gorseli yuklemeye calışıyor bu da cokmeye neden oluyordu. Bu tur bir aksaklık, "yığın arabellek taşması" olarak da biliniyor.
Not: Mozjpeg isimli acık kaynak kodlu JPEG kodlayıcısı, Mozilla ve Facebook tarafından ortak olarak geliştirildi. Bu kodlayıcının dikkat ceken ozelliği, JPEG uzantılı dosyaları (yani pek cok fotoğrafı) daha kucuk boyutlarda oluştururken, kalite kaybı yaşatmamasıydı. Bu sayede hem Mozilla ve Facebook'un veritabanları rahatlayacak hem de kullanıcılara daha hızlı bir gorsel yukleme deneyimi sunulacaktı.
Check Point tarafından hazırlanan rapora gore uzmanlar, Mozjpeg'in kodlarını, JPEG kodlayıcının Instagram'ı etkileyip etkilemeyeceğini anlamak icin araştırmışlar. İşte soz konusu kritik guvenlik acığı da bu araştırmalar sırasında ortaya cıkmış. Elbaz, oluşturduğu raporda guvenlik acığının hangi kod calışırken somurulduğunu de paylaşıyor;

*Sarı renkli okla belirtilen kod, "yığın arabellek taşması" sorununun kaynaklanmasına yol acıyor.
Elbaz, bir bilgisayar korsanının soz konusu guvenlik acığından faydalanabilmek icin 2^32 bytetan daha buyuk bir boyut belirtmesi gerektiğini ifade ediyor. İşte bu şartlara uyan bir goruntu oluşturup bu goruntuyu hedef kullanıcıya gonderen bir saldırgan, hedefe Instagram uzerinden ulaşmış oluyordu. Hatta Elbaz'e gore bir bilgisayar korsanı, bu guvenlik acığından faydalanarak kendi kodlarını bile yurutebilir.
[h=2]Soz konusu guvenlik acığının işleyişini şu şekilde ozetlemek mumkun[/h] Kurbana, şartları sağlayan bir goruntu gonderin. Bu goruntu SMS, WhatsApp ya da e-posta uygulamaları aracılığıyla gonderilebilir. Goruntu, telefona kaydedildikten sonra kurbanın Instagram'a giriş yapmasını bekleyin. Kurban, Instagram'a erişmeye calıştığında uygulama cokecek. Bu surecte de guvenlik acığından farklı şekillerde faydalanılabilir. İşte bu teknik rapor, guvenlik acıklarının kullanıcıları nasıl kolay bir şekilde kurban haline gelebileceklerini gosteriyor. Ayrıca yukarıdaki anlattığımız surecleri genişletmek de mumkun. Yani soz konusu guvenlik acığının cok daha fazlasına yol acma ihtimali var. Ancak Check Point, guvenlik acığını Facebook'a bildirdikten sonra bu acık uzerinde calışmayı bırakmış. Cunku guvenlik acığı hızlıca kapatılıp, risk ortadan kalkmış.