Представители Facebook сообщили об устранении опасной уязвимости в Instagram. Обнаруженная ошибка позволяла получать полный контроль над чужим аккаунтом, прислав пользователю картинку с вредоносным кодом.
Обнаружили уязвимость специалисты Check Point Software. Алгоритм атаки основан на переполнении буфера – схема используется давно и позволяет злоумышленнику запускать на устройстве произвольный код.
Специалисты отметили, что взлом Instagram позволяет получить доступ к различным службам и данным, включая список контактов, файлы, микрофон, камеру и службу геолокации.
Источник проблемы – кодировщик Mozjpeg (стороннее приложение), которое позволяет быстрее обрабатывать изображения в формате JPEG. В утилите присутствовала ошибка, которая приводила к переполнению буфера.
Для начала атаки злоумышленнику необходимо отправить подготовленное изображение на атакованное устройство любым способом (электронная почта, SMS, мессенджер), добиться, чтобы пользователь сохранил файл и открыл Instagram. Данную уязвимость также можно использовать для вызова сбоя в приложении.
Эксперты также отметили, что сегодня компании часто используют проекты с открытым кодом в популярных коммерческих программах. Это оправдано с экономической стороны – нет необходимости вкладывать время и деньги на разработку нужных модулей, если уже есть готовое ПО. Однако качество таких разработок может различаться, поэтому используемый код нужно тщательно проверять, тем более, что ошибки могут возникнуть и после полноценного внедрения (например, несовместимость с новым модулем).
Специалисты Check Point еще зимой передали Facebook информацию о найденной опасной проблеме, разработчики Instagram занесли баг в базу с индексом CVE-2020-1895. Пакеты обновлений, закрывающие уязвимость, также были выпущены разработчиками оперативно (февраль 2020 года), однако раскрытие подробностей специально было отложено до сентября.