Σάββατο, 20 Φεβρουαρίου, 17:10
Αρχική security Instagram: Σφάλμα κρασάρει την εφαρμογή και επιτρέπει την κατασκοπεία

Instagram: Σφάλμα κρασάρει την εφαρμογή και επιτρέπει την κατασκοπεία

Instagram

Το Facebook διόρθωσε μια κρίσιμη ευπάθεια στο Instagram. Η ευπάθεια θα μπορούσε να χρησιμοποιηθεί από hackers για την εκτέλεση κώδικα απομακρυσμένα, για κρασάρισμα της εφαρμογής και για την παραβίαση της κάμερας και του μικροφώνου των smartphones με σκοπό την κατασκοπεία.

Το Facebook, ο ιδιοκτήτης του Instagram, ενημερώθηκε για την ευπάθεια από την Check Point πριν από μήνες. Όπως είπαμε και πιο πάνω, η ευπάθεια έχει χαρακτηριστεί κρίσιμη και σχετίζεται με τη διαχείριση εικόνων στο Instagram.

Η ευπάθεια ονομάζεται CVE-2020-1895 και έχει λάβει βαθμολογία 7,8 στην κλίμακα CVSS. Το Facebook εξήγησε ότι πρόκειται για ένα “heap overflow ζήτημα“.

Το heap overflow ζήτημα θα μπορούσε να συμβεί στο Instagram για Android κατά τη διαδικασία μεταφόρτωσης μιας εικόνας με ειδικά κατασκευασμένες διαστάσεις. Αυτό το πρόβλημα επηρεάζει τις εκδόσεις πριν από την 128.0.0.26.128“, λέει το Facebook.

Από τεχνικής απόψεως, τo πρόβλημα προκαλείται από την αποστολή μιας εικόνας με μεγάλο μέγεθος, ενώ η εφαρμογή ξεγελιέται και πιστεύει ότι είναι πολύ μικρότερη“, είπε η Check Point.

Οι ερευνητές ασφαλείας της Check Point δήλωσαν ότι η αποστολή μιας κακόβουλης εικόνας ήταν αρκετή για να πάρει ο επιτιθέμενος τον έλεγχο ενός λογαριασμού στο Instagram. Η επίθεση ενεργοποιείται μόλις σταλεί η κακόβουλη εικόνα και αποθηκευτεί στη συσκευή του θύματος. Η εικόνα μπορεί να σταλεί μέσω email, WhatsApp, SMS ή οποιασδήποτε άλλης πλατφόρμας επικοινωνίας.

Αν ο χρήστης αποθηκεύσει την εικόνα και μετά ανοίξει το Instagram, θα εκτελεστεί ο κακόβουλος κώδικας.

Το ζήτημα έχει να κάνει με το πώς χειρίζεται το Instagram τις βιβλιοθήκες τρίτων για την επεξεργασία εικόνων. Συγκεκριμένα, η Check Point επικεντρώθηκε στο Mozjpeg, ένα open source JPEG decoder που αναπτύχθηκε από τη Mozilla και χρησιμοποιήθηκε από το Instagram για να χειριστεί τις μεταφορτώσεις εικόνων.

Η εικόνα μπορεί να περιέχει ένα payload που αξιοποιεί την εκτεταμένη λίστα δικαιωμάτων του Instagram, παρέχοντας στους επιτιθέμενους πρόσβαση σε “οποιονδήποτε πόρο στο τηλέφωνο που έχει προ-εγκριθεί από το Instagram”.

Αυτό σημαίνει ότι ο επιτιθέμενος μπορεί να αποκτήσει πρόσβαση στις επαφές του θύματος, σε δεδομένα τοποθεσίας / GPS, στην κάμερα και σε αρχεία που αποθηκεύονται τοπικά. Όσον αφορά στην ίδια την εφαρμογή, η ευπάθεια θα μπορούσε να επιτρέψει την παρεμπόδιση άμεσων μηνυμάτων και την ανάγνωσή τους, τη διαγραφή και δημοσίευση φωτογραφιών χωρίς άδεια και την αλλαγή των ρυθμίσεων της εφαρμογής.

Η εκμετάλλευση της ευπάθειας θα μπορούσε να κρασάρει την εφαρμογή Instagram και να αρνηθεί στο χρήστη την πρόσβαση στην εφαρμογή“, είπαν οι ερευνητές. Οι χρήστες μπορεί να χρειαστεί να διαγράψουν το Instagram και να το εγκαταστήσουν ξανά για να μπορέσουν να αποκτήσουν πρόσβαση. Αυτό προκαλεί προβλήματα, γιατί οι χρήστες μπορεί να χάσουν σημαντικά δεδομένα.

Σύμφωνα με το ZDNet, η συγκεκριμένη ευπάθεια είχε αποκαλυφθεί στο Facebook πριν μήνες και διορθώθηκε την άνοιξη. Οι ερευνητές ήθελαν να δώσουν χρόνο στην πλατφόρμα να διορθώσει το σφάλμα και στους χρήστες να εγκαταστήσουν τις ενημερώσεις, πριν γίνει η δημόσια αποκάλυψη.

Διορθώσαμε το σφάλμα και δεν έχουμε δει στοιχεία που να αποδεικνύουν ότι έχει χρησιμοποιηθεί“, δήλωσε το Facebook. “Είμαστε ευγνώμονες για τη βοήθεια της Check Point στη διατήρηση της ασφάλειας του Instagram“.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...

Οι δωροκάρτες του Xbox πωλούνται με έκπτωση 10% στο Amazon

Οι κάτοχοι των Xbox μπορούν να εξοικονομήσουν λίγα χρήματα σε παιχνίδια, add-ons, συνδρομές και πολλά άλλα, αν ψωνίσουν τις δωροκάρτες Xbox στο...

Perseverance: Το διαστημικό όχημα της NASA προσεδαφίστηκε στον Άρη!

Το διαστημικό όχημα «Perseverance» προσεδαφίστηκε επιτυχώς χθες, λίγο πριν τις 11 το βράδυ ώρα Ελλάδος στον Άρη. Στόχος αυτής της αποστολής της...

YouTube: Μπορείτε να αναπαράγετε βίντεο 4K σε συσκευές με οθόνες χαμηλής ανάλυσης

Η εφαρμογή Youtube σε Android σας επιτρέπει να αναπαράγετε βίντεο με ανάλυση έως 4K. Το μόνο που χρειάζεστε είναι ένα τηλέφωνο με...

Top θέσεις Software Engineering και δεξιότητες coding για το 2021

Λόγω του COVID-19, οι προσπάθειες πρόσληψης και οι ευκαιρίες απασχόλησης σημείωσαν σημαντική πτώση πέρυσι. Ωστόσο, ο κλάδος της τεχνολογίας αποδείχθηκε πιο ανθεκτικός...
00:10:13

Phishing emails: Πώς να τα αναγνωρίσετε και πώς να προστατευτείτε;

https://www.youtube.com/watch?v=iME-CzlKVzc Το phishing είναι ίσως η μεγαλύτερη απειλή στον κυβερνοχώρο εδώ και περισσότερα από πέντε χρόνια. Γι΄...