В Instagram найдена уязвимость, которая позволяет получить доступ к телефону
Данная уязвимость касается только приложения для платформы Android. Злоумышленники могут получить доступ к телефону жертвы, путем отправки специально созданного изображения. Важно понимать, что уязвимость позволяла атакующему получить доступ не только к аккаунту жертвы, но и к устройству в целом.
Уязвимость переполнения буфера (CVE-2020-1895) получила оценку в 7,8 балла по шкале CVSS и затрагивает все версии приложения Instagram до 128.0.0.26.128.
«Уязвимость превращает устройство в инструмент для слежки за пользователями без их ведома, а также позволяет злонамеренно манипулировать их профилем в Instagram. В любом случае атака может привести к серьезному вторжению в частную жизнь пользователей и нанести ущерб их репутации», — сообщили эксперты.
Проблема была найдена шесть месяцев назад, тогда же сообщили об этом в Facebook. Разработчик выпустил обновление, закрывающее дыру в безопасности, но публичного объявления не было, давая возможность пользователям обновить свои приложения.
Эксплуатация уязвимости проходит в функции "read_jpg_copy_loop" библиотеки кодировщика JPEG с открытым исходным кодом MozJPEG. Атакующему достаточно отправить специально созданное изображение жертве по Whats'App или электронной почте. Как только жертва сохранит картинку на устройстве и запустит Instagram, произойдет эксплуатация уязвимости в автоматическом режиме. Таким образом предоставляя хакеру полный контроль над устройством жертвы.
Кроме этого, использовать уязвимость можно для дестабилизации работы приложения до тех пор, пока пользователь не удалит и вновь не установит Instagram.
Уязвимость переполнения буфера (CVE-2020-1895) получила оценку в 7,8 балла по шкале CVSS и затрагивает все версии приложения Instagram до 128.0.0.26.128.
«Уязвимость превращает устройство в инструмент для слежки за пользователями без их ведома, а также позволяет злонамеренно манипулировать их профилем в Instagram. В любом случае атака может привести к серьезному вторжению в частную жизнь пользователей и нанести ущерб их репутации», — сообщили эксперты.
Проблема была найдена шесть месяцев назад, тогда же сообщили об этом в Facebook. Разработчик выпустил обновление, закрывающее дыру в безопасности, но публичного объявления не было, давая возможность пользователям обновить свои приложения.
Эксплуатация уязвимости проходит в функции "read_jpg_copy_loop" библиотеки кодировщика JPEG с открытым исходным кодом MozJPEG. Атакующему достаточно отправить специально созданное изображение жертве по Whats'App или электронной почте. Как только жертва сохранит картинку на устройстве и запустит Instagram, произойдет эксплуатация уязвимости в автоматическом режиме. Таким образом предоставляя хакеру полный контроль над устройством жертвы.
Кроме этого, использовать уязвимость можно для дестабилизации работы приложения до тех пор, пока пользователь не удалит и вновь не установит Instagram.