Facebook виправив критичну уразливість в додатку Instagram, яка могла призвести до віддаленого виконання коду та отримання доступу до камер, мікрофонів тощо. Про «діру» в системі повідомила компанія Check Point. Вона описується як «критична уразливість в обробці зображень Instagram» і отримала оцінку CVSS 7.8.
- Facebook звинувачують у шпигунстві за користувачами Instagram через камеру смартфона
- Instagram випустив оновлення для Reels
- Twitter розпочне тестування особистих голосових повідомлень
Дослідники кібербезпеки Check Point заявили, що відправлення одного шкідливого зображення було досить, щоб захопити Instagram. Атака може бути ініційована після надсилання створеного зображення – через електронну пошту, WhatsApp, SMS або будь-яку іншу комунікаційну платформу – і потім збережена на пристрої жертви. Незалежно від того, як було збережено зображення, для виконання шкідливого коду достатньо просто відкрити застосунок компанії Facebook.
Проблема в тому, як додаток обробляє сторонні бібліотеки, що використовуються для обробки зображень. Зокрема, Check Point зосередився на Mozjpeg, декодере JPEG з відкритим вихідним кодом, розробленому Mozilla, який був неправильно використаний мобільним додатком для обробки завантаження зображень.
Створений файл зображення може використовувати великий список дозволів Instagram на мобільному пристрої, надаючи доступ до «будь-якого ресурсу в телефоні, який попередньо дозволений додатком.
Наприклад доступ до телефонних контактів, даних про місцезнаходження та GPS, камери і локально збережених файлів. У самому додатку уразливість також може використовуватися для перехоплення прямих повідомлень, видалення, змінення налаштувань облікового запису тощо.
«Ми усунули проблему і не виявили жодних доказів її використання. Ми вдячні Check Point за допомогу в забезпеченні безпеки нашого застосунка».