تواصل معنا عبر الرسائل أو عبر الهاتف.

whatsapp telegram viber phone email
+79214188555

Vulnerability in Instagram could allow remote access to the phone

НСК-СБ

طاقم الإدارة
Private access level
Full members of NP "MOD"
إنضم
14 يوليو 2011
المشاركات
3,180
مستوى التفاعل
2,181
النقاط
613
الإقامة
Новосибирск
Vulnerability in Instagram could allow remote access to the phone

Attackers could take control of the target device by sending a specially crafted image.
image


Check Point Researchers uncovered Details of a critical vulnerability in the Instagram app for Android, the exploitation of which could allow remote attackers to take control of a target device by sending a specially crafted image.

The vulnerability not only allowed criminals to perform actions on behalf of the user in the Instagram app, including accessing the victim's private messages, deleting or posting photos from accounts, but also providing the ability to execute arbitrary code on the device.

The buffer overflow vulnerability (CVE-2020-1895) has a CVSS score of 7.8 and affects all versions of the Instagram app up to 128.0.0.26.128.

“The vulnerability turns the device into a tool to spy on users without their knowledge, and also allows them to maliciously manipulate their Instagram profile. In any case, an attack could lead to a serious invasion of users' privacy and damage their reputation, ”the experts said.

Security researchers reported their findings to Facebook, and the company released a fix for the issue six months ago. Public disclosure has been delayed, allowing most Instagram users to update the app.

The issue stems from the way Instagram has integrated the open source MozJPEG JPEG encoder library, which is designed to lower bandwidth and improve the compression of uploaded images. An integer overflow occurs when a vulnerable function ("read_jpg_copy_loop") tries to parse a maliciously crafted image with specially sized dimensions.

To exploit the vulnerability, a hacker only needs to send a malicious JPEG image to the victim via email or WhatsApp. As soon as the recipient saves the image on the device and launches Instagram, exploitation occurs automatically, giving the attacker full control over the application.

The vulnerability can also be used to cause the Instagram app to crash, making it inaccessible until the victim uninstalls the program and reinstalls it.

 
Original message
Уязвимость в Instagram позволяла получить удаленный доступ к телефону

Злоумышленники могли перехватить контроль над целевым устройством путем отправки специально созданного изображения.
image


Исследователи из компании Check Point раскрыли подробности о критической уязвимости в приложении Instagram для Android, эксплуатация которой позволяла удаленным злоумышленникам перехватить контроль над целевым устройством путем отправки специально созданного изображения.

Уязвимость не только позволяла преступникам выполнять действия от имени пользователя в приложении Instagram, включая доступ к личным сообщениям жертвы, удаление или публикацию фотографий из учетных записей, но также предоставляла возможность выполнять произвольный код на устройстве.

Уязвимость переполнения буфера (CVE-2020-1895) получила оценку в 7,8 балла по шкале CVSS и затрагивает все версии приложения Instagram до 128.0.0.26.128.

«Уязвимость превращает устройство в инструмент для слежки за пользователями без их ведома, а также позволяет злонамеренно манипулировать их профилем в Instagram. В любом случае атака может привести к серьезному вторжению в частную жизнь пользователей и нанести ущерб их репутации», — сообщили эксперты.

Исследователи безопасности сообщили о своих находках Facebook, и компания выпустила исправление для данной проблемы шесть месяцев назад. Публичное раскрытие информации откладывалось, позволяя большинству пользователей Instagram обновить приложение.

Проблема связана с тем, как Instagram интегрировало библиотеку кодировщика JPEG с открытым исходным кодом MozJPEG, которая разработана для снижения пропускной способности и улучшение сжатия загружаемых изображений. Когда уязвимая функция («read_jpg_copy_loop») пытается проанализировать вредоносное изображение со специально созданными размерами, происходит целочисленное переполнение.

Для эксплуатации уязвимости хакеру достаточно отправить вредоносное изображение в формате JPEG жертве по электронной почте или в WhatsApp. Как только получатель сохраняет изображение на устройстве и запускает Instagram, эксплуатация происходит автоматически, предоставляя злоумышленнику полный контроль над приложением.

Уязвимость также можно использовать для вызова сбоя в работе приложения Instagram, сделав его недоступным, пока жертва не удалит программу и повторно не установит ее.

التعديل الأخير بواسطة المشرف:

Матушкин Андрей Николаевич

Президент IAPD
طاقم الإدارة
Private access level
Full members of NP "MOD"
إنضم
1 يناير 1970
المشاركات
22,020
مستوى التفاعل
3,772
النقاط
113
العمر
53
الإقامة
Россия,
الموقع الالكتروني
o-d-b.ru
Check Point Researchers uncovered Details of a critical vulnerability in the Instagram app for Android, the exploitation of which could allow remote attackers to take control of a target device by sending a specially crafted image.

The vulnerability not only allowed criminals to perform actions on behalf of the user in the Instagram app, including accessing the victim's private messages, deleting or posting photos from accounts, but also providing the ability to execute arbitrary code on the device.

The buffer overflow vulnerability (CVE-2020-1895) has a CVSS score of 7.8 and affects all versions of the Instagram app up to 128.0.0.26.128.

“The vulnerability turns the device into a tool to spy on users without their knowledge, and also allows them to maliciously manipulate their Instagram profile. In any case, an attack could lead to a serious invasion of users' privacy and damage their reputation, ”the experts said.
Thanks for the interesting material.
 
Original message
Исследователи из компании Check Point раскрыли подробности о критической уязвимости в приложении Instagram для Android, эксплуатация которой позволяла удаленным злоумышленникам перехватить контроль над целевым устройством путем отправки специально созданного изображения.

Уязвимость не только позволяла преступникам выполнять действия от имени пользователя в приложении Instagram, включая доступ к личным сообщениям жертвы, удаление или публикацию фотографий из учетных записей, но также предоставляла возможность выполнять произвольный код на устройстве.

Уязвимость переполнения буфера (CVE-2020-1895) получила оценку в 7,8 балла по шкале CVSS и затрагивает все версии приложения Instagram до 128.0.0.26.128.

«Уязвимость превращает устройство в инструмент для слежки за пользователями без их ведома, а также позволяет злонамеренно манипулировать их профилем в Instagram. В любом случае атака может привести к серьезному вторжению в частную жизнь пользователей и нанести ущерб их репутации», — сообщили эксперты.
Спасибо за интересный материал.
  • Like
التفاعلات: НСК-СБ

Макаров Виталий Николаевич

Private access level
Full members of NP "MOD"
إنضم
10 سبتمبر 2018
المشاركات
169
مستوى التفاعل
227
النقاط
43
العمر
46
الإقامة
Красноярский край, п. Н-Ингаш, ул. Таёжная, 1/1-1
Interesting stuff! Thanks!
 
Original message
Интересный материал! Спасибо!
  • Like
التفاعلات: НСК-СБ
إنضم
30 مارس 2010
المشاركات
517
مستوى التفاعل
241
النقاط
43
الإقامة
Армения, Ереван.
It's scary to imagine. I wonder if closed accounts could have been hacked?
 
Original message
Страшно это представить. Интересно, а закрытых аккаунтов могли взломать?

До нового года осталось