В приложениях Instagram для iOS и Android эксперты по информационной безопасности обнаружили критическую уязвимость, при эксплуатации которой киберпреступник может заблокировать доступ пользователю к программе, получить контроль над его учетной записью, использовать пользовательское устройство для слежки.
Для вызова соответствующей ошибки хакеру необходимо отправить жертве специально созданное приложение по электронной почте, мессенджеру или любым другим удобным способом. Проблема состоит в том, как приложение Instagram для iOS и Android проводит анализ этого изображения.
С технической точки зрения уязвимость представляет собой переполнение буфера кучи (CVE-2020-1895), что возникает в ситуации, когда приложение Instagram пытается загрузить изображение большого размера, считая его намного меньшим.
Аналогичная проблема была устранена специалистами Facebook еще весной 2020 г. после сообщений от компании Check Point. Но компания Check Point опубликовала новый отчет, в котором подчеркивается, что нестандартная реализация стороннего кода в приложении Instagram может привести к возможности удаленного выполнения кода.
Проблема присутствует на уровне кодировщика JPEG-изображений Mozjpeg. Специалисты компании Check Point подробно изучили инструмент и выявили, что функция обработки размеров изображений при анализе JPEG имеет ошибку, вызванную проблемами распределения памяти (целочисленное переполнение) во время распаковки.
Ошибка может эксплуатироваться хакерами для повреждения памяти устройства, что приведет к серьезным последствиям. В лучшем случае эта уязвимость станет причиной сбоя в работе приложения Instagram, а в худшем – к возникновению критических рисков безопасности устройства.
В компании Check Point отдельно отмечают, что уязвимость особенно опасна, потому что Instagram для iOS и Android имеет множество разрешений на пользовательском устройстве: доступ к контактам, хранилищу, геолокации, камере, микрофону.
Также описывается вероятный сценарий действий киберпреступника, которые имеет представление о том, как именно можно эксплуатировать найденную уязвимость в Instagram для iOS и Android:
- На первом этапе жертве отправляется вредоносное изображение по email, СМС, в мессенджере или любым другим способом.
- Если жертва сохраняет изображение и открывает затем приложение Instagram для iOS и Android, то запускается эксплуатация уязвимости, за счет чего киберпреступник получает доступ к устройству жертвы.
- Эксплуатация уязвимости может использоваться для постоянного сбоя приложения Instagram для iOS и Android, если не удалить и не переустановить программу.
В Check Point отмечают, что такая цепочка событий вполне возможна, но ИБ-экспертам пока не удалось обнаружить все возможности, возникающие в результате использования этой уязвимости.
Представители Facebook уже объявили, что уязвимость полностью устранена, и что «никаких доказательств злоупотребления этой ошибкой обнаружено не было».
