Facebook elimina el error de Instagram que permite a los atacantes espiar a los usuarios de la aplicación

 Instagram tiene una vulnerabilidad importante, rastreó CVE-2020-1895 y emitió una puntuación CVSS de 7.8, lo que podría conducir a la ejecución de acceso remoto y al secuestro de la cámara, el micrófono y más de SmartPhones.

Check Point describió esta vulnerabilidad como una “vulnerabilidad crítica en el procesamiento de imágenes de Instagram”, lo que permite a los atacantes ingresar al teléfono de las víctimas solo enviándoles una imagen especialmente diseñada a través de una plataforma de mensajería común o por correo electrónico.

Facebook, el propietario de la plataforma Instagram, explicó esta vulnerabilidad como:

“Se podría producir un gran desbordamiento de montón en Instagram para Android al intentar cargar una imagen con dimensiones especialmente diseñadas. Esto afecta a las versiones anteriores a 128.0.0.26.128 ”.

El problema fue cómo Instagram maneja las bibliotecas de terceros utilizadas para el procesamiento de imágenes. Instagram utilizó incorrectamente Mozijped, un decodificador JPEG de código abierto, para manejar la carga de imágenes.

 Según Check Point, el archivo de imagen elaborado contiene una carga útil que puede aprovechar la extensa lista de permisos de la aplicación en dispositivos Android y otorgar acceso a todos los recursos en el teléfono que supuestamente tiene permiso para Instagram.

 Check Point dijo que, al explotar esta vulnerabilidad, los piratas informáticos podrían obtener acceso a los contactos del teléfono, la cámara, los datos de ubicación / GPS y los archivos almacenados localmente y generar problemas de privacidad, seguridad y robo de identidad. Además, podría usarse para dañar a los usuarios a través de la propia aplicación insta, ya que los atacantes obtienen el control total sobre la aplicación. Pueden eliminar publicaciones, fotos sin permiso, cambiar la configuración de las cuentas e interceptar mensajes directos y leerlos.

“Desafortunadamente, también es probable que otros errores permanezcan o se introduzcan en el futuro. Como tal, es absolutamente necesario realizar pruebas continuas de este y otros códigos de análisis de formatos de medios similares, tanto en bibliotecas del sistema operativo como en bibliotecas de terceros. También recomendamos reducir la superficie de ataque restringiendo el receptor a una pequeña cantidad de formatos de imagen compatibles ”.

La vulnerabilidad se detectó a principios de este año y ya era hora de que el Fabebook solucionara este problema. Entonces, esta aplicación de redes sociales está segura en este momento. El motivo de la explotación pública en este momento es porque los investigadores de ciberseguridad querían darle tiempo a Instagram para actualizar sus aplicaciones.

Los expertos también recomiendan a los usuarios que utilicen la última versión de la aplicación y sigan buscando la actualización siempre en el futuro.