Facebook entfernt den Instagram-Fehler, mit dem Angreifer App-Benutzer ausspionieren können
Instagram hat eine große Sicherheitslücke, hat CVE-2020-1895 verfolgt und einen CVSS-Wert von 7,8 ausgegeben, was zur Ausführung des Fernzugriffs und zur Entführung von SmartPhones-Kamera, -Mikrofon und mehr führen kann.
Check Point beschrieb diese Sicherheitsanfälligkeit als “kritische Sicherheitsanfälligkeit bei der Bildverarbeitung von Instagram”, bei der die Angreifer nur dann in das Telefon des Opfers eindringen können, wenn sie ihm ein speziell gestaltetes Bild über eine gemeinsame Messaging-Plattform oder per E-Mail senden.
Facebook, der Eigentümer der Instagram-Plattform, erklärte diese Sicherheitsanfälligkeit wie folgt:
„Beim Versuch, ein Bild mit speziell gestalteten Abmessungen hochzuladen, kann es bei Instagram für Android zu einem großen Heap-Überlauf kommen. Dies betrifft Versionen vor 128.0.0.26.128 ”.
Es ging darum, wie Instagram mit Bibliotheken von Drittanbietern umgeht, die für die Bildverarbeitung verwendet werden. Instagram hat Mozijped, einen Open-Source-JPEG-Decoder, nicht ordnungsgemäß für das Hochladen von Bildern verwendet.
Laut Check Point enthält die gestaltete Bilddatei eine Nutzlast, mit der die umfangreiche Berechtigungsliste der App auf Android-Geräten genutzt und Zugriff auf alle Ressourcen des Telefons gewährt werden kann, die angeblich für Instagram zulässig sind.
Check Point sagte, durch Ausnutzung dieser Sicherheitsanfälligkeit könnten die Hacker Zugriff auf Telefonkontakte, Kamera-, Standort- / GPS-Daten und lokal gespeicherte Dateien erhalten und zu Problemen mit Datenschutz, Sicherheit und Identitätsdiebstahl führen. Es kann auch verwendet werden, um Benutzern durch die insta-App selbst Schaden zuzufügen, da die Angreifer die volle Kontrolle über die App erhalten. Sie können Beiträge und Fotos ohne Erlaubnis löschen, Kontoeinstellungen ändern, Direktnachrichten abfangen und lesen.
„Leider ist es auch wahrscheinlich, dass andere Fehler bestehen bleiben oder in Zukunft eingeführt werden. Daher ist ein kontinuierliches Fuzz-Testen dieses und ähnlichen Parsing-Codes für Medienformate sowohl in Betriebssystembibliotheken als auch in Bibliotheken von Drittanbietern unbedingt erforderlich. Wir empfehlen außerdem, die Angriffsfläche zu reduzieren, indem Sie den Empfänger auf eine kleine Anzahl unterstützter Bildformate beschränken. “
Die Sicherheitsanfälligkeit wurde sehr früh in diesem Jahr entdeckt und es war Zeit zuvor, als das Fabebook dieses Problem behoben hat. Diese Social-Media-App ist jetzt also sicher. Der Grund für die öffentliche Ausbeutung liegt derzeit darin, dass Cybersicherheitsforscher Instagram Zeit geben wollten, um ihre Apps zu aktualisieren.
Experten empfehlen Benutzern außerdem, die neueste Version der App zu verwenden und auch in Zukunft nach dem Update zu suchen.