O vulnerabilitate a aplicației Instagram ar fi putut să ofere hackerilor acces la telefoanele utilizatorilor

Cercetătorii Check Point au dezvăluit detalii despre o vulnerabilitate critică în aplicația Instagram care ar fi putut permite atacatorilor să aibă control de la distanță asupra dispozitivelor utilizatorilor doar prin trimiterea unei imagini corupte.

Vulnerabilitatea permite atacatorilor să efectueze acțiuni în numele utilizatorului( spionarea mesajelor private; ștergerea sau postarea unor fotografii) dar și sa execute cod arbitrar pe dispozitiv.

Potrivit unui aviz publicat de Facebook, vulnerabilitatea afectează toate versiunile de Instagram mai vechi de 128.0.0.26.128, care a fost lansată pe 10 februarie 2020.

După ce au fost raportate constatările, compania Facebook a rezolvat vulnerabilitatea cu o actualizare a unui patch lansat în urmă cu șase luni. Dezvăluirea publică a fost amânată în acest timp pentru a permite utilizatorilor Instagram să actualizeze aplicația, reducând astfel riscul pe care îl poate introduce această vulnerabilitate.

Eroarea provine din modul în care Instagram  a integrat MozJPEG – o bibliotecă de codificare JPEG open source care are ca scop scăderea lățimii de bandă și asigurarea unei compresii mai bune pentru imaginile încărcate.

Un atacator ar putea obține controlul asupra dimensiunii memoriei alocate imaginii,  lungimea datelor care trebuie suprascrise și conținutul regiunii de memorie. Acesta trimite o imagine JPEG coruptă unui utilizator prin e-mail sau WhatsApp. Odată ce victima salvează imaginea pe dispozitiv și lansează aplicația Instagram, exploatarea are loc automat, iar atacatorul are control deplin asupra aplicației.

Sfaturi de siguranță pentru utilizatori:

  • Realizați în permanență actualizări aplicațiilor pe care le utilizați;
  • Monitorizați permisiunile pe care le acordați aplicațiilor.

Sursa: https://thehackernews.com/