Что нового

News Ошибка Instagram могла дать хакерам удаленный доступ к вашему телефону

Vander 0

Vander

Команда форума
10.11.2019
444
983
120539032_183344783240181_5086551260712918075_n.jpg

Вы когда-нибудь задумывались, как хакеры могут удаленно взломать ваш смартфон?

В опубликованном отчете исследователи Check Point раскрыли подробности критической уязвимости в Android-приложении Instagram, которая могла позволить удаленным злоумышленникам получить контроль над целевым устройством, просто отправив жертвам специально созданное изображение.

Что еще более тревожно, так это то, что уязвимость не только позволяет злоумышленникам выполнять действия от имени пользователя в приложении Instagram, включая слежку за личными сообщениями жертвы и даже удалять или публиковать фотографии из своих учетных записей, но также выполнять произвольный код на устройстве.

Согласно сообщению, опубликованному Facebook, проблема безопасности переполнения кучи (отслеживаемая как CVE-2020-1895, оценка CVSS: 7,8) затрагивает все версии приложения Instagram до 128.0.0.26.128, выпущенного 10 февраля ранее этого года. год.

«Этот [недостаток] превращает устройство в инструмент для слежки за целевыми пользователями без их ведома, а также позволяет злонамеренно манипулировать их профилем в Instagram», - говорится в опубликованном исследовании Check Point Research.

«В любом случае атака может привести к массовому вторжению в частную жизнь пользователей и может повлиять на репутацию - или привести к еще более серьезным рискам безопасности».

После того, как результаты были отправлены в Facebook, компания, занимающаяся социальными сетями, решила проблему с помощью обновления патча, выпущенного шесть месяцев назад. Публичное раскрытие информации все это время откладывалось, чтобы позволить большинству пользователей Instagram обновить приложение, тем самым снизив риск, который может представлять эта уязвимость.

Хотя Facebook подтвердил, что не было никаких признаков того, что эта ошибка была использована в глобальном масштабе, разработка является еще одним напоминанием о том, почему важно поддерживать приложения в актуальном состоянии и помнить о предоставляемых им разрешениях.

A Heap Overflow Vulnerability

Согласно Check Point, уязвимость, связанная с повреждением памяти, позволяет удаленно выполнять код, который, учитывая обширные разрешения Instagram на доступ к камере, контактам, GPS, библиотеке фотографий и микрофону пользователя, может быть использован для выполнения любых вредоносных действий на зараженном устройстве.

Что касается самого недостатка, то он проистекает из того, как Instagram интегрировал MozJPEG - библиотеку кодировщика JPEG с открытым исходным кодом, которая направлена на снижение пропускной способности и улучшение сжатия изображений, загружаемых в службу, что приводит к целочисленному переполнению, когда рассматриваемая уязвимая функция ( «read_jpg_copy_loop») пытается проанализировать вредоносное изображение со специально созданными размерами.

При этом злоумышленник может получить контроль над размером памяти, выделенной для изображения, длиной данных, которые должны быть перезаписаны, и, наконец, содержимым переполненной области памяти, что, в свою очередь, дает злоумышленнику возможность повредить определенные местоположения в куче и отклонить выполнение кода.

Следствием такой уязвимости является то, что все, что нужно сделать злоумышленнику - это отправить поврежденное изображение в формате JPEG жертве по электронной почте или в WhatsApp. После того, как получатель сохраняет изображение на устройстве и запускает Instagram, использование происходит автоматически, предоставляя злоумышленнику полный контроль над приложением.

Хуже того, эксплойт можно использовать для сбоя приложения Instagram пользователя и сделать его недоступным, если он не будет удален и повторно установлен на устройстве.

Во всяком случае, уязвимость указывает на то, как включение сторонних библиотек в приложения и службы может быть слабым звеном для безопасности, если интеграция не выполнена правильно.

«Нечеткое изображение открытого кода выявило некоторые новые уязвимости, которые с тех пор были исправлены», - сказал Гал Эльбаз из Check Point. «Вероятно, что при достаточных усилиях одна из этих уязвимостей может быть использована для RCE в сценарии атаки zero-click.

«К сожалению, также вероятно, что другие ошибки останутся или появятся в будущем. Поэтому постоянное нечеткое тестирование синтаксического анализа этого и аналогичного кода при использовании мультимедийных форматов, как в библиотеках операционной системы, так и в сторонних библиотеках, абсолютно необходимо. "

Янив Балмас, руководитель отдела кибер-исследований Check Point, дал следующие советы по безопасности для пользователей смартфонов:
  • Update! Update! Update! Убедитесь, что вы регулярно обновляете свое мобильное приложение и мобильные операционные системы. Десятки критических исправлений безопасности поставляются в этих обновлениях каждую неделю, и каждый потенциально может серьезно повлиять на вашу конфиденциальность.
  • Мониторинг разрешений. Обратите внимание на приложения, запрашивающие разрешение. Разработчикам приложений легко запрашивать у пользователей чрезмерные разрешения, и пользователям также очень легко нажать «Разрешить», не задумываясь.
  • Дважды подумайте о РАЗРЕШЕНИЯХ. Подумайте несколько секунд, прежде чем что-либо одобрить. Спросите: «Я действительно хочу предоставить этому приложению такой доступ, действительно ли он мне нужен?» если ответ отрицательный, НЕ УТВЕРЖДАЙТЕ.
 
Верх Низ