Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

Vulnerability in Instagram could allow remote access to the phone

НСК-СБ

Staff member
Private access level
Full members of NP "MOD"
Joined
Jul 14, 2011
Messages
3,180
Reaction score
2,179
Points
613
Location
Новосибирск
Vulnerability in Instagram could allow remote access to the phone

Attackers could take control of the target device by sending a specially crafted image.
image


Check Point Researchers uncovered Details of a critical vulnerability in the Instagram app for Android, the exploitation of which could allow remote attackers to take control of a target device by sending a specially crafted image.

The vulnerability not only allowed criminals to perform actions on behalf of the user in the Instagram app, including accessing the victim's private messages, deleting or posting photos from accounts, but also providing the ability to execute arbitrary code on the device.

The buffer overflow vulnerability (CVE-2020-1895) has a CVSS score of 7.8 and affects all versions of the Instagram app up to 128.0.0.26.128.

“The vulnerability turns the device into a tool to spy on users without their knowledge, and also allows them to maliciously manipulate their Instagram profile. In any case, an attack could lead to a serious invasion of users' privacy and damage their reputation, ”the experts said.

Security researchers reported their findings to Facebook, and the company released a fix for the issue six months ago. Public disclosure has been delayed, allowing most Instagram users to update the app.

The issue stems from the way Instagram has integrated the open source MozJPEG JPEG encoder library, which is designed to lower bandwidth and improve the compression of uploaded images. An integer overflow occurs when a vulnerable function ("read_jpg_copy_loop") tries to parse a maliciously crafted image with specially sized dimensions.

To exploit the vulnerability, a hacker only needs to send a malicious JPEG image to the victim via email or WhatsApp. As soon as the recipient saves the image on the device and launches Instagram, exploitation occurs automatically, giving the attacker full control over the application.

The vulnerability can also be used to cause the Instagram app to crash, making it inaccessible until the victim uninstalls the program and reinstalls it.

 
Original message
Уязвимость в Instagram позволяла получить удаленный доступ к телефону

Злоумышленники могли перехватить контроль над целевым устройством путем отправки специально созданного изображения.
image


Исследователи из компании Check Point раскрыли подробности о критической уязвимости в приложении Instagram для Android, эксплуатация которой позволяла удаленным злоумышленникам перехватить контроль над целевым устройством путем отправки специально созданного изображения.

Уязвимость не только позволяла преступникам выполнять действия от имени пользователя в приложении Instagram, включая доступ к личным сообщениям жертвы, удаление или публикацию фотографий из учетных записей, но также предоставляла возможность выполнять произвольный код на устройстве.

Уязвимость переполнения буфера (CVE-2020-1895) получила оценку в 7,8 балла по шкале CVSS и затрагивает все версии приложения Instagram до 128.0.0.26.128.

«Уязвимость превращает устройство в инструмент для слежки за пользователями без их ведома, а также позволяет злонамеренно манипулировать их профилем в Instagram. В любом случае атака может привести к серьезному вторжению в частную жизнь пользователей и нанести ущерб их репутации», — сообщили эксперты.

Исследователи безопасности сообщили о своих находках Facebook, и компания выпустила исправление для данной проблемы шесть месяцев назад. Публичное раскрытие информации откладывалось, позволяя большинству пользователей Instagram обновить приложение.

Проблема связана с тем, как Instagram интегрировало библиотеку кодировщика JPEG с открытым исходным кодом MozJPEG, которая разработана для снижения пропускной способности и улучшение сжатия загружаемых изображений. Когда уязвимая функция («read_jpg_copy_loop») пытается проанализировать вредоносное изображение со специально созданными размерами, происходит целочисленное переполнение.

Для эксплуатации уязвимости хакеру достаточно отправить вредоносное изображение в формате JPEG жертве по электронной почте или в WhatsApp. Как только получатель сохраняет изображение на устройстве и запускает Instagram, эксплуатация происходит автоматически, предоставляя злоумышленнику полный контроль над приложением.

Уязвимость также можно использовать для вызова сбоя в работе приложения Instagram, сделав его недоступным, пока жертва не удалит программу и повторно не установит ее.

Last edited by a moderator:

Матушкин Андрей Николаевич

Президент IAPD
Staff member
Private access level
Full members of NP "MOD"
Joined
Jan 1, 1970
Messages
22,017
Reaction score
3,769
Points
113
Age
53
Location
Россия,
Website
o-d-b.ru
Check Point Researchers uncovered Details of a critical vulnerability in the Instagram app for Android, the exploitation of which could allow remote attackers to take control of a target device by sending a specially crafted image.

The vulnerability not only allowed criminals to perform actions on behalf of the user in the Instagram app, including accessing the victim's private messages, deleting or posting photos from accounts, but also providing the ability to execute arbitrary code on the device.

The buffer overflow vulnerability (CVE-2020-1895) has a CVSS score of 7.8 and affects all versions of the Instagram app up to 128.0.0.26.128.

“The vulnerability turns the device into a tool to spy on users without their knowledge, and also allows them to maliciously manipulate their Instagram profile. In any case, an attack could lead to a serious invasion of users' privacy and damage their reputation, ”the experts said.
Thanks for the interesting material.
 
Original message
Исследователи из компании Check Point раскрыли подробности о критической уязвимости в приложении Instagram для Android, эксплуатация которой позволяла удаленным злоумышленникам перехватить контроль над целевым устройством путем отправки специально созданного изображения.

Уязвимость не только позволяла преступникам выполнять действия от имени пользователя в приложении Instagram, включая доступ к личным сообщениям жертвы, удаление или публикацию фотографий из учетных записей, но также предоставляла возможность выполнять произвольный код на устройстве.

Уязвимость переполнения буфера (CVE-2020-1895) получила оценку в 7,8 балла по шкале CVSS и затрагивает все версии приложения Instagram до 128.0.0.26.128.

«Уязвимость превращает устройство в инструмент для слежки за пользователями без их ведома, а также позволяет злонамеренно манипулировать их профилем в Instagram. В любом случае атака может привести к серьезному вторжению в частную жизнь пользователей и нанести ущерб их репутации», — сообщили эксперты.
Спасибо за интересный материал.
  • Like
Reactions: НСК-СБ

До нового года осталось