Bug στο Instagram επιτρέπει στους hacker να σας κατασκοπεύουν με το κινητό σας!

Το Facebook μόλις επιδιόρθωσε μια κρίσιμη ευπάθεια στο Instagram που θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα και την παραβίαση των φωτογραφικών μηχανών ενός smartphone, των μικροφώνων αλλά και άλλων μέσων.

Αποκαλύφθηκε ιδιωτικά στο Facebook, ο ιδιοκτήτης του Instagram, από το Check Point, το ελάττωμα ασφαλείας που περιγράφεται ως “μια κρίσιμη ευπάθεια στην επεξεργασία εικόνας στο Instagram”.

Παρατηρήθηκε ως CVE-2020-1895 με βαθμολογία CVSS 7,8, ο σύμβουλος ασφαλείας του Facebook αναφέρει ότι η ευπάθεια είναι ένα πρόβλημα υπερχείλισης σωρού.

“Μια μεγάλη υπερχείλιση σωρού θα μπορούσε να συμβεί στο Instagram για Android, όταν επιχειρείτε να ανεβάσετε μια εικόνα με ειδικά κατασκευασμένες διαστάσεις. Αυτό επηρεάζει τις εκδόσεις πριν από την 128.0.0.26.128”, λέει ο σύμβουλος.

Σε μια δημοσίευση ιστολογίου την Πέμπτη, οι ερευνητές του Check Point cybersecurity δήλωσαν ότι η αποστολή μιας μόνο κακόβουλης εικόνας ήταν αρκετή για να καταλάβει το Instagram. Μια επίθεση μπορεί να ενεργοποιηθεί μόλις σταλεί μια κατασκευασμένη εικόνα – μέσω email, WhatsApp, SMS ή οποιασδήποτε άλλης πλατφόρμας επικοινωνίας – και στη συνέχεια αποθηκευτεί στη συσκευή του θύματος.

Ανεξάρτητα από το εάν μια εικόνα αποθηκεύεται τοπικά ή μη, απλώς το άνοιγμα του Instagram μετά είναι αρκετό για την εκτέλεση του κακόβουλου κώδικα.

Το ζήτημα είναι ο τρόπος με τον οποίο το Instagram χειρίζεται βιβλιοθήκες τρίτων που χρησιμοποιούνται για την επεξεργασία εικόνων. Συγκεκριμένα, το Check Point επικεντρώθηκε στο Mozjpeg, έναν ανοιχτό κώδικα αποκωδικοποιητή JPEG που αναπτύχθηκε από τη Mozilla και χρησιμοποιήθηκε ακατάλληλα από το Instagram για να χειριστεί τις μεταφορτώσεις εικόνων.

Ένα αρχείο επεξεργασμένης εικόνας μπορεί να περιέχει ένα ωφέλιμο φορτίο που μπορεί να αξιοποιήσει την εκτεταμένη λίστα δικαιωμάτων του Instagram σε μια κινητή συσκευή, παρέχοντας πρόσβαση σε “οποιονδήποτε πόρο στο τηλέφωνο που έχει προ-εγκριθεί από το Instagram”, λέει η ομάδα.

Αυτό μπορεί να περιλαμβάνει πρόσβαση στις επαφές τηλεφώνου μιας συσκευής, δεδομένα τοποθεσίας / GPS, κάμερα και αρχεία που αποθηκεύονται τοπικά. Στην ίδια την εφαρμογή Instagram, η ευπάθεια του RCE θα μπορούσε επίσης να χρησιμοποιηθεί για την παρεμπόδιση άμεσων μηνυμάτων και την ανάγνωσή τους. να διαγράψει ή να δημοσιεύσει φωτογραφίες χωρίς άδεια ή ν’ αλλάξει τις ρυθμίσεις  του λογαριασμού.

“Στο πιο βασικό επίπεδο, η εκμετάλλευση θα μπορούσε να χρησιμοποιηθεί για να συντρίψει την εφαρμογή Instagram ενός χρήστη, αρνούμενη την πρόσβαση στην εφαρμογή έως ότου τη διαγράψουν από τη συσκευή τους και την επανεγκαταστήσουν, προκαλώντας ταλαιπωρία και πιθανή απώλεια δεδομένων”, πρόσθεσε το Check Point .

Η διατύπωση της ευπάθειας έγινε έξι μήνες μετά την ιδιωτική αποκάλυψη για να δοθεί στην πλειοψηφία των χρηστών της συσκευής χρόνος να αποδεχθούν τις ενημερώσεις ασφαλείας και να μετριάσουν τον κίνδυνο εκμετάλλευσης.

“Διορθώσαμε το πρόβλημα και δεν έχουμε δει καμία ένδειξη κατάχρησης”, δήλωσε το Facebook. “Είμαστε ευγνώμονες για τη βοήθεια του Check Point στη διατήρηση της ασφάλειας του Instagram.”

Εάν λοιπόν κατά τύχη δεν έχετε ενημερώσει ακόμα την εφαρμογή του Instagram, καλό είναι να το κάνετε τώρα!

 

[signoff]

 

Πηγή: https://www.zdnet.com/

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Leave a reply

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ

Xiaomi 18 Pro: 2 X 200MP κάμερες, 7000mAh μπαταρία, επιδόσεις και τιμή σοκ

Το Xiaomi 18 Pro αναμένεται να είναι ένα από τα πιο ικανά smartphones που έχει ανακοινώσει η Xiaomi, αλλά και λόγω της συνεχιζόμενης κρίσης...

Google: Ξεκινάει τη χρήση της IP διεύθυνσής μας

Μια σημαντική αλλαγή ξεκινάει να εφαρμόζει η Google για όσους διαμένουν στον Ευρωπαϊκό Οικονομικό Χώρο, στο Ηνωμένο Βασίλειο και στην Ελβετία. Υπάρχει περίπτωση να...

Τέλος στα USB εγκατάστασης: Η Microsoft ενσωματώνει το Cloud Rebuild στο Windows 11

Η Microsoft αλλάζει ριζικά τον τρόπο με τον οποίο οι χρήστες και οι διαχειριστές συστημάτων ανακτούν υπολογιστές που έχουν καταρρεύσει. Το νέο εργαλείο Cloud...

Άλμα από M5 σε M7: Το MacBook Pro παίρνει άλλο δρόμο

Η Apple φέρεται να αλλάζει σχέδια για τη νέα γενιά MacBook Pro, παρακάμπτοντας τα ισχυρά chips M6 Pro και M6 Max και περνώντας κατευθείαν...

Η TCL έφτιαξε τηλεόραση που μοιάζει με πίνακα ζωγραφικής

Η TCL παρουσιάζει τη σειρά τηλεοράσεων A400 Pro NXTVISION, την πρώτη Art TV της εταιρείας που ενσωματώνει τεχνολογία QD-Mini LED, βραβευμένη με το Red...

ΤΕΛΕΥΤΑΙΕΣ ΠΡΟΣΦΟΡΕΣ

Διακοπές Ρεύματος;;; ΤΕΡΜΑ οι Δικαιολογίες… Φτιάξ’ το ΣΗΜΕΡΑ με Allpowers R600 Power Station στα 212€ ΚΟΜΠΛΕ

Αν ακόμη δεν έχεις κάνει κάτι για να διασφαλίσεις από το "ΚΑΚΟ" ρεύμα τις πανάκριβες συσκευές σου ή ακόμη και την δουλειά σου... με...

Με 30.000 DPI… Razer Pro Click V2, Ασύρματο Gaming Ποντίκι, RGB, Εργονομικό, Ai & Macros και Στην Καλύτερη Τιμή EVER από Ελλάδα (βίντεο)

Όταν κάτι αφορά την δουλειά σου πάνω απ' όλα πάντα προτείνω να διαθέσεις κάτι "παραπάνω" γιατί σίγουρα θα σου τα γυρίσει πίσω πολλές φορές. Έτσι...

Xiaomi MIJIA Youth Edition2S: Ο πιο “ΤΣΑΜΠΑ” Επώνυμος DLP προτζέκτορας είναι εδώ… στα 297€ ΚΟΜΠΛΕ (βίντεο)

Βίντεο Σύγκρισής  Xiaomi MIJIA Youth Edition2S (DLP) VS Wanbo T2 MAX New (LED) Είναι ο 5ος DLP Προτζέκτορας που φέρνω στο κανάλι ανάμεσα σε 10άδες...

Κάνε Δική σου… την Δική μου Action Camera! Η Insta360 Ace Pro 2, στο “Καλύτερο” Bandle και Τιμή από ΕΛΛΑΔΑ!!!! (βίντεο)

Την έχεις δει να πρωταγωνιστεί σε πολλά από τα βίντεο μου και είναι η αγαπημένη μου γιατί απλά κάνει τα "πάντα" και τα κάνει...

Το “Απόλυτο” VFM και καλύτερο Power Station Στα 1800W (3600W Peak), 1024Wh και 0,01sec UPS… Στα 367€ ΚΟΜΠΛΕ (Βίντεο)

Μετά από δική σας προτροπή και 6 μήνες δοκιμών μπορώ πλέον να ανεβάζω το βίντεο και να πω με ασφάλεια ότι δουλεύει άψογα. Προσωπικά δεν...