ΑρχικήsecurityInstagram: Σφάλμα κρασάρει την εφαρμογή και επιτρέπει την κατασκοπεία

Instagram: Σφάλμα κρασάρει την εφαρμογή και επιτρέπει την κατασκοπεία

Instagram

Το Facebook διόρθωσε μια κρίσιμη ευπάθεια στο Instagram. Η ευπάθεια θα μπορούσε να χρησιμοποιηθεί από hackers για την εκτέλεση κώδικα απομακρυσμένα, για κρασάρισμα της εφαρμογής και για την παραβίαση της κάμερας και του μικροφώνου των smartphones με σκοπό την κατασκοπεία.

Το Facebook, ο ιδιοκτήτης του Instagram, ενημερώθηκε για την ευπάθεια από την Check Point πριν από μήνες. Όπως είπαμε και πιο πάνω, η ευπάθεια έχει χαρακτηριστεί κρίσιμη και σχετίζεται με τη διαχείριση εικόνων στο Instagram.

Η ευπάθεια ονομάζεται CVE-2020-1895 και έχει λάβει βαθμολογία 7,8 στην κλίμακα CVSS. Το Facebook εξήγησε ότι πρόκειται για ένα “heap overflow ζήτημα“.

Το heap overflow ζήτημα θα μπορούσε να συμβεί στο Instagram για Android κατά τη διαδικασία μεταφόρτωσης μιας εικόνας με ειδικά κατασκευασμένες διαστάσεις. Αυτό το πρόβλημα επηρεάζει τις εκδόσεις πριν από την 128.0.0.26.128“, λέει το Facebook.

Από τεχνικής απόψεως, τo πρόβλημα προκαλείται από την αποστολή μιας εικόνας με μεγάλο μέγεθος, ενώ η εφαρμογή ξεγελιέται και πιστεύει ότι είναι πολύ μικρότερη“, είπε η Check Point.

Οι ερευνητές ασφαλείας της Check Point δήλωσαν ότι η αποστολή μιας κακόβουλης εικόνας ήταν αρκετή για να πάρει ο επιτιθέμενος τον έλεγχο ενός λογαριασμού στο Instagram. Η επίθεση ενεργοποιείται μόλις σταλεί η κακόβουλη εικόνα και αποθηκευτεί στη συσκευή του θύματος. Η εικόνα μπορεί να σταλεί μέσω email, WhatsApp, SMS ή οποιασδήποτε άλλης πλατφόρμας επικοινωνίας.

Αν ο χρήστης αποθηκεύσει την εικόνα και μετά ανοίξει το Instagram, θα εκτελεστεί ο κακόβουλος κώδικας.

Το ζήτημα έχει να κάνει με το πώς χειρίζεται το Instagram τις βιβλιοθήκες τρίτων για την επεξεργασία εικόνων. Συγκεκριμένα, η Check Point επικεντρώθηκε στο Mozjpeg, ένα open source JPEG decoder που αναπτύχθηκε από τη Mozilla και χρησιμοποιήθηκε από το Instagram για να χειριστεί τις μεταφορτώσεις εικόνων.

Η εικόνα μπορεί να περιέχει ένα payload που αξιοποιεί την εκτεταμένη λίστα δικαιωμάτων του Instagram, παρέχοντας στους επιτιθέμενους πρόσβαση σε “οποιονδήποτε πόρο στο τηλέφωνο που έχει προ-εγκριθεί από το Instagram”.

Αυτό σημαίνει ότι ο επιτιθέμενος μπορεί να αποκτήσει πρόσβαση στις επαφές του θύματος, σε δεδομένα τοποθεσίας / GPS, στην κάμερα και σε αρχεία που αποθηκεύονται τοπικά. Όσον αφορά στην ίδια την εφαρμογή, η ευπάθεια θα μπορούσε να επιτρέψει την παρεμπόδιση άμεσων μηνυμάτων και την ανάγνωσή τους, τη διαγραφή και δημοσίευση φωτογραφιών χωρίς άδεια και την αλλαγή των ρυθμίσεων της εφαρμογής.

Η εκμετάλλευση της ευπάθειας θα μπορούσε να κρασάρει την εφαρμογή Instagram και να αρνηθεί στο χρήστη την πρόσβαση στην εφαρμογή“, είπαν οι ερευνητές. Οι χρήστες μπορεί να χρειαστεί να διαγράψουν το Instagram και να το εγκαταστήσουν ξανά για να μπορέσουν να αποκτήσουν πρόσβαση. Αυτό προκαλεί προβλήματα, γιατί οι χρήστες μπορεί να χάσουν σημαντικά δεδομένα.

Σύμφωνα με το ZDNet, η συγκεκριμένη ευπάθεια είχε αποκαλυφθεί στο Facebook πριν μήνες και διορθώθηκε την άνοιξη. Οι ερευνητές ήθελαν να δώσουν χρόνο στην πλατφόρμα να διορθώσει το σφάλμα και στους χρήστες να εγκαταστήσουν τις ενημερώσεις, πριν γίνει η δημόσια αποκάλυψη.

Διορθώσαμε το σφάλμα και δεν έχουμε δει στοιχεία που να αποδεικνύουν ότι έχει χρησιμοποιηθεί“, δήλωσε το Facebook. “Είμαστε ευγνώμονες για τη βοήθεια της Check Point στη διατήρηση της ασφάλειας του Instagram“.

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS