Facebook a corrigé un bug RCE sur Instagram qui pouvait espionner les utilisateurs

0


Des chercheurs de La société Check Point a révélé un bug RCE dans Instagram qui pourrait être exploité en utilisant juste un fichier image! Le bogue concernait la façon dont Instagram gère les téléchargements et le traitement des images et son exploitation peut donner à l'attacheur toutes les autorisations dont dispose Instagram. Cela a été signalé à Facebook et corrigé dans la dernière mise à jour d'Instagram suggérant ainsi aux utilisateurs de mettre à jour immédiatement.

Un bug d'Instagram RCE peut vous espionner!

Avec plus d'un milliard d'utilisateurs et plus, Instagram est la plate-forme de partage de photos populaire de Facebook et utilisée principalement par les adolescents. L'application Android de la plate-forme présenterait un bogue critique qui, s'il est exploité, peut donner au pirate informatique toutes les autorisations qu'un utilisateur a déjà accordées à Instagram.

Documenté par Check Point une entreprise de cybersécurité, les chercheurs ont souligné comment Instagram utilise de manière inappropriée le traitement d'images à l'aide d'un outil open-source. Cela a été signalé à Facebook en privé il y a environ six mois, mais a été documenté maintenant pour donner aux utilisateurs le temps de mettre à jour leurs applications. Repérée sous CVE-2020-1895 la vulnérabilité a reçu un score de gravité de 7,8 / 10.

Facebook a publié un avis concernant le bogue aujourd'hui, appelant le « grand débordement de tas » comme étant la cause. En outre, « Cela pourrait se produire dans Instagram pour Android lors d'une tentative de téléchargement d'une image avec des dimensions spécialement conçues. Cela affecte les versions antérieures à 128.0.0.26.128. »Les chercheurs de Check Point ont expliqué les conséquences dévastatrices de ce bogue RCE.

Le expliqua comment Instagram utilisait incorrectement le Mozjpeg un décodeur JPEG open source développé par Mozilla pour gérer les téléchargements d'images. Les chercheurs ont déclaré qu'en envoyant un simple fichier image, qui contient une charge utile malveillante et conçu pour déclencher le bogue, peut détourner le téléphone de la cible. L'image peut être envoyée par n'importe quel moyen et, lorsqu'elle est enregistrée dans l'appareil par l'utilisateur, donne la possibilité à l'attaquant de lancer le piratage.

L'ouverture d'Instagram après l'enregistrement de l'image déclenche le bogue et permettra à l'attaquant d'accéder aux autorisations prédéfinies données par l'utilisateur à Instagram. Ceux-ci peuvent inclure l'emplacement, les contacts, la caméra et le stockage interne. De plus, l'attaquant peut utiliser ce bogue RCE pour interpréter les messages directs et même publier / supprimer les messages Instagram de l'utilisateur.

Leave A Reply

Your email address will not be published.