Błąd Instagrama pozwolił hakerom szpiegować użytkowników za pomocą zdjęcia
Potrzebny był tylko jeden plik obrazu, aby zaimplementować naprawioną już lukę RCE.
Facebook naprawił krytyczną lukę w zabezpieczeniach Instagrama, która może prowadzić do zdalnego wykonania kodu i przechwycenia kamer, mikrofonów, a nawet całego smartfona, według ZDNet
Luka w zabezpieczeniach została zgłoszona przez Check Point. Luka jest opisana jako „krytyczna luka w przetwarzaniu obrazu na Instagramie".
Luka otrzymała identyfikator CVE-2020-1895 i ocenę CVSS na poziomie 7,8. Poradnik bezpieczeństwa Facebooka stwierdza, że ta luka jest związana z przepełnieniem stosu.
„Podczas próby przesłania obrazu o niestandardowych wymiarach na Instagramie na Androida mogło wystąpić duże przepełnienie stosu. Działa to w wersjach wcześniejszych niż 128.0.0.26.128″, czytamy we wpisie.
W czwartkowym poście na blogu analitycy Check Point ds. bezpieczeństwa cybernetycznego stwierdzili, że wysłanie jednego złośliwego obrazu wystarczy, aby przejąć kontrolę nad Instagramem. Atak może zostać zainicjowany poprzez wysłanie utworzonego obrazu – e-mailem, WhatsApp, SMS-em lub inną platformą komunikacyjną – a następnie zapisania go na urządzeniu ofiary.
Zobacz też: Ile najlepsi hakerzy zarabiają na nagrodach za znalezione luki.
Niezależnie od tego, czy obraz jest zapisywany lokalnie, czy ręcznie, wystarczy otworzyć Instagram, aby wykonać złośliwy kod.
Problem polega na tym, jak Instagram obsługuje biblioteki stron trzecich używane do przetwarzania obrazu. W szczególności firma Check Point skupiła się na Mozjpeg, otwartym dekoderze JPEG opracowanym przez Mozillę, który był niewłaściwie wykorzystywany przez Instagram do obsługi przesyłania obrazów.
Odkryli, że funkcja zmiany rozmiaru obrazu podczas analizowania obrazów JPEG miała błąd, który powodował problemy z alokacją pamięci (przepełnienie liczb całkowitych) podczas procesu dekompresji.
Wygenerowany plik obrazu może zawierać ładunek zdolny do korzystania z obszernej listy uprawnień Instagrama na urządzeniu mobilnym, zapewniając dostęp do „dowolnego zasobu w telefonie, który jest wstępnie autoryzowany przez Instagram” – mówi zespół.
Może to obejmować dostęp do kontaktów telefonicznych urządzenia, danych lokalizacji/GPS, aparatu i plików przechowywanych lokalnie. W samej aplikacji Instagram luka RCE może być również wykorzystywana do przechwytywania bezpośrednich wiadomości i ich czytania; usuwać ani publikować zdjęć bez pozwolenia ani zmieniać ustawień konta.
„Na najbardziej podstawowym poziomie exploit może zostać wykorzystany do zawieszenia aplikacji Instagram użytkownika, uniemożliwiając mu dostęp do aplikacji, dopóki nie odinstaluje jej ze swojego urządzenia i nie zainstaluje ponownie, powodując niedogodności i możliwą utratę danych”, dodał Check Point.
Zobacz też: Autopilot Tesli odjechał policji z prędkością 150 km/h, gdy kierowca spał za kierownicą
Opis luki został sporządzony sześć miesięcy po ujawnieniu jej przez osoby prywatne, aby dać większości użytkowników telefonów komórkowych czas na zaakceptowanie aktualizacji zabezpieczeń i zmniejszyć ryzyko wykorzystania luki.
„Naprawiliśmy problem i nie znaleźliśmy żadnych dowodów na to, że był on wykorzystywany przez atakujących” – powiedział Facebook. „Jesteśmy wdzięczni firmie Check Point za pomoc w zapewnieniu bezpieczeństwa Instagrama”.