Facebook rimuove il bug di Instagram consentendo agli aggressori di spiare gli utenti dell’app
Instagram ha una grave vulnerabilità, ha tracciato CVE-2020-1895 e ha emesso un punteggio CVSS di 7,8, che potrebbe portare all’esecuzione di accesso remoto e al dirottamento della fotocamera, del microfono e altro ancora degli smartphone.
Check Point ha descritto questa vulnerabilità come una “vulnerabilità critica nell’elaborazione delle immagini di Instagram”, consentendo agli aggressori di entrare nel telefono delle vittime solo inviandole un’immagine appositamente predisposta tramite una piattaforma di messaggistica comune o tramite e-mail.
Facebook, il proprietario della piattaforma Instagram, ha spiegato questa vulnerabilità come:
“In Instagram per Android potrebbe verificarsi un grande overflow dell’heap quando si tenta di caricare un’immagine con dimensioni appositamente predisposte. Ciò riguarda le versioni precedenti a 128.0.0.26.128 “.
Il problema riguardava il modo in cui Instagram gestisce le librerie di terze parti utilizzate per l’elaborazione delle immagini. Instagram ha utilizzato in modo improprio Mozijped, un decodificatore JPEG open source, per gestire i caricamenti di immagini.
Secondo Check Point, il file immagine creato contiene un payload che è in grado di sfruttare l’ampio elenco di autorizzazioni dell’app sui dispositivi Android e concedere l’accesso a tutte le risorse sul telefono presumibilmente consentite a Instagram.
Check Point ha affermato che, sfruttando questa vulnerabilità, gli hacker potrebbero avere accesso a contatti telefonici, fotocamera, dati di posizione / GPS e file archiviati localmente e causare problemi di privacy, sicurezza e furto di identità. Inoltre, potrebbe essere utilizzato per danneggiare gli utenti tramite l’app insta stessa poiché gli aggressori ottengono il pieno controllo sull’app. Possono eliminare post, foto senza autorizzazione, modificare le impostazioni dell’account e intercettare messaggi diretti e leggerli.
“Sfortunatamente, è anche probabile che altri bug rimangano o verranno introdotti in futuro. In quanto tale, è assolutamente necessario eseguire un test fuzz continuo di questo codice di analisi di formati multimediali simili, sia nelle librerie del sistema operativo che in quelle di terze parti. Raccomandiamo inoltre di ridurre la superficie di attacco limitando il ricevitore a un numero limitato di formati di immagine supportati ”.
La vulnerabilità è stata rilevata molto all’inizio di quest’anno ed era tempo prima che Fabebook risolvesse questo problema. Quindi, questa app di social media è sicura al momento. Il motivo dello sfruttamento pubblico in questo momento è perché i ricercatori di sicurezza informatica volevano dare tempo a Instagram per aggiornare le loro app.
Gli esperti consigliano inoltre agli utenti di utilizzare l’ultima versione dell’app e di continuare a cercare l’aggiornamento sempre in futuro.