Facebook supprime le bogue d’Instagram permettant aux attaquants d’espionner les utilisateurs de l’application

 Instagram a une vulnérabilité majeure, a tracé CVE-2020-1895 et a émis un score CVSS de 7,8, ce qui pourrait conduire à l’exécution d’accès à distance et au détournement de la caméra, du microphone et plus encore des SmartPhones.

Check Point a décrit cette vulnérabilité comme une «vulnérabilité critique dans le traitement d’images d’Instagram», permettant aux attaquants de s’introduire dans le téléphone des victimes uniquement en leur envoyant une image spécialement conçue via une plate-forme de messagerie commune ou par e-mail.

Facebook, le propriétaire de la plateforme Instagram, a expliqué cette vulnérabilité comme suit:

«Un important débordement de tas pourrait se produire dans Instagram pour Android lors de la tentative de téléchargement d’une image avec des dimensions spécialement conçues. Cela affecte les versions antérieures à 128.0.0.26.128 ».

Le problème était de savoir comment Instagram gère les bibliothèques tierces utilisées pour le traitement d’images. Instagram a mal utilisé Mozijped, un décodeur JPEG open source, pour gérer les téléchargements d’images.

 Selon Check Point, le fichier image conçu contient une charge utile qui est capable d’exploiter la liste complète des autorisations de l’application sur les appareils Android et d’accorder l’accès à toutes les ressources du téléphone qui sont prétendument autorisées sur Instagram.

 Check Point a déclaré qu’en exploitant cette vulnérabilité, les pirates pourraient accéder aux contacts du téléphone, à la caméra, aux données de localisation / GPS et aux fichiers stockés localement et entraîner des problèmes de confidentialité, de sécurité et de vol d’identité. En outre, il pourrait être utilisé pour nuire aux utilisateurs via l’application insta elle-même, car les attaquants obtiennent le contrôle total sur l’application. Ils peuvent supprimer des messages, des photos sans autorisation, modifier les paramètres des comptes et intercepter les messages directs et les lire.

«Malheureusement, il est également probable que d’autres bogues subsistent ou seront introduits à l’avenir. En tant que tel, un test fuzz continu de ce code d’analyse de format multimédia et similaire, à la fois dans les bibliothèques du système d’exploitation et les bibliothèques tierces, est absolument nécessaire. Nous recommandons également de réduire la surface d’attaque en limitant le récepteur à un petit nombre de formats d’image pris en charge ».

La vulnérabilité a été détectée très tôt cette année et il était temps avant que le Fabebook corrige ce problème. Donc, cette application de médias sociaux est en sécurité pour le moment. La raison de l’exploitation publique à l’heure actuelle est que les chercheurs en cybersécurité voulaient laisser le temps à Instagram de mettre à jour leurs applications.

Les experts recommandent également aux utilisateurs d’utiliser la dernière version de l’application et de continuer à rechercher la mise à jour toujours à l’avenir.