Το Facebook μόλις επιδιόρθωσε μια κρίσιμη ευπάθεια στο Instagram που θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα και την παραβίαση των φωτογραφικών μηχανών ενός smartphone, των μικροφώνων αλλά και άλλων μέσων.
Αποκαλύφθηκε ιδιωτικά στο Facebook, ο ιδιοκτήτης του Instagram, από το Check Point, το ελάττωμα ασφαλείας που περιγράφεται ως “μια κρίσιμη ευπάθεια στην επεξεργασία εικόνας στο Instagram”.
Παρατηρήθηκε ως CVE-2020-1895 με βαθμολογία CVSS 7,8, ο σύμβουλος ασφαλείας του Facebook αναφέρει ότι η ευπάθεια είναι ένα πρόβλημα υπερχείλισης σωρού.
“Μια μεγάλη υπερχείλιση σωρού θα μπορούσε να συμβεί στο Instagram για Android, όταν επιχειρείτε να ανεβάσετε μια εικόνα με ειδικά κατασκευασμένες διαστάσεις. Αυτό επηρεάζει τις εκδόσεις πριν από την 128.0.0.26.128”, λέει ο σύμβουλος.
Σε μια δημοσίευση ιστολογίου την Πέμπτη, οι ερευνητές του Check Point cybersecurity δήλωσαν ότι η αποστολή μιας μόνο κακόβουλης εικόνας ήταν αρκετή για να καταλάβει το Instagram. Μια επίθεση μπορεί να ενεργοποιηθεί μόλις σταλεί μια κατασκευασμένη εικόνα – μέσω email, WhatsApp, SMS ή οποιασδήποτε άλλης πλατφόρμας επικοινωνίας – και στη συνέχεια αποθηκευτεί στη συσκευή του θύματος.
Ανεξάρτητα από το εάν μια εικόνα αποθηκεύεται τοπικά ή μη, απλώς το άνοιγμα του Instagram μετά είναι αρκετό για την εκτέλεση του κακόβουλου κώδικα.
Το ζήτημα είναι ο τρόπος με τον οποίο το Instagram χειρίζεται βιβλιοθήκες τρίτων που χρησιμοποιούνται για την επεξεργασία εικόνων. Συγκεκριμένα, το Check Point επικεντρώθηκε στο Mozjpeg, έναν ανοιχτό κώδικα αποκωδικοποιητή JPEG που αναπτύχθηκε από τη Mozilla και χρησιμοποιήθηκε ακατάλληλα από το Instagram για να χειριστεί τις μεταφορτώσεις εικόνων.
Ένα αρχείο επεξεργασμένης εικόνας μπορεί να περιέχει ένα ωφέλιμο φορτίο που μπορεί να αξιοποιήσει την εκτεταμένη λίστα δικαιωμάτων του Instagram σε μια κινητή συσκευή, παρέχοντας πρόσβαση σε “οποιονδήποτε πόρο στο τηλέφωνο που έχει προ-εγκριθεί από το Instagram”, λέει η ομάδα.
Αυτό μπορεί να περιλαμβάνει πρόσβαση στις επαφές τηλεφώνου μιας συσκευής, δεδομένα τοποθεσίας / GPS, κάμερα και αρχεία που αποθηκεύονται τοπικά. Στην ίδια την εφαρμογή Instagram, η ευπάθεια του RCE θα μπορούσε επίσης να χρησιμοποιηθεί για την παρεμπόδιση άμεσων μηνυμάτων και την ανάγνωσή τους. να διαγράψει ή να δημοσιεύσει φωτογραφίες χωρίς άδεια ή ν’ αλλάξει τις ρυθμίσεις του λογαριασμού.
“Στο πιο βασικό επίπεδο, η εκμετάλλευση θα μπορούσε να χρησιμοποιηθεί για να συντρίψει την εφαρμογή Instagram ενός χρήστη, αρνούμενη την πρόσβαση στην εφαρμογή έως ότου τη διαγράψουν από τη συσκευή τους και την επανεγκαταστήσουν, προκαλώντας ταλαιπωρία και πιθανή απώλεια δεδομένων”, πρόσθεσε το Check Point .
Η διατύπωση της ευπάθειας έγινε έξι μήνες μετά την ιδιωτική αποκάλυψη για να δοθεί στην πλειοψηφία των χρηστών της συσκευής χρόνος να αποδεχθούν τις ενημερώσεις ασφαλείας και να μετριάσουν τον κίνδυνο εκμετάλλευσης.
“Διορθώσαμε το πρόβλημα και δεν έχουμε δει καμία ένδειξη κατάχρησης”, δήλωσε το Facebook. “Είμαστε ευγνώμονες για τη βοήθεια του Check Point στη διατήρηση της ασφάλειας του Instagram.”
Εάν λοιπόν κατά τύχη δεν έχετε ενημερώσει ακόμα την εφαρμογή του Instagram, καλό είναι να το κάνετε τώρα!
[signoff]
Πηγή: https://www.zdnet.com/
