Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Vulnerability in Instagram could allow remote access to the phone

НСК-СБ

Miembro del equipo
Nivel de acceso privado
Full members of NP "MOD"
Registrado
14 Jul 2011
Mensajes
3.180
Puntuación de reacción
2.181
Puntos
613
Ubicación
Новосибирск
Vulnerability in Instagram could allow remote access to the phone

Attackers could take control of the target device by sending a specially crafted image.
image


Check Point Researchers uncovered Details of a critical vulnerability in the Instagram app for Android, the exploitation of which could allow remote attackers to take control of a target device by sending a specially crafted image.

The vulnerability not only allowed criminals to perform actions on behalf of the user in the Instagram app, including accessing the victim's private messages, deleting or posting photos from accounts, but also providing the ability to execute arbitrary code on the device.

The buffer overflow vulnerability (CVE-2020-1895) has a CVSS score of 7.8 and affects all versions of the Instagram app up to 128.0.0.26.128.

“The vulnerability turns the device into a tool to spy on users without their knowledge, and also allows them to maliciously manipulate their Instagram profile. In any case, an attack could lead to a serious invasion of users' privacy and damage their reputation, ”the experts said.

Security researchers reported their findings to Facebook, and the company released a fix for the issue six months ago. Public disclosure has been delayed, allowing most Instagram users to update the app.

The issue stems from the way Instagram has integrated the open source MozJPEG JPEG encoder library, which is designed to lower bandwidth and improve the compression of uploaded images. An integer overflow occurs when a vulnerable function ("read_jpg_copy_loop") tries to parse a maliciously crafted image with specially sized dimensions.

To exploit the vulnerability, a hacker only needs to send a malicious JPEG image to the victim via email or WhatsApp. As soon as the recipient saves the image on the device and launches Instagram, exploitation occurs automatically, giving the attacker full control over the application.

The vulnerability can also be used to cause the Instagram app to crash, making it inaccessible until the victim uninstalls the program and reinstalls it.

 
Original message
Уязвимость в Instagram позволяла получить удаленный доступ к телефону

Злоумышленники могли перехватить контроль над целевым устройством путем отправки специально созданного изображения.
image


Исследователи из компании Check Point раскрыли подробности о критической уязвимости в приложении Instagram для Android, эксплуатация которой позволяла удаленным злоумышленникам перехватить контроль над целевым устройством путем отправки специально созданного изображения.

Уязвимость не только позволяла преступникам выполнять действия от имени пользователя в приложении Instagram, включая доступ к личным сообщениям жертвы, удаление или публикацию фотографий из учетных записей, но также предоставляла возможность выполнять произвольный код на устройстве.

Уязвимость переполнения буфера (CVE-2020-1895) получила оценку в 7,8 балла по шкале CVSS и затрагивает все версии приложения Instagram до 128.0.0.26.128.

«Уязвимость превращает устройство в инструмент для слежки за пользователями без их ведома, а также позволяет злонамеренно манипулировать их профилем в Instagram. В любом случае атака может привести к серьезному вторжению в частную жизнь пользователей и нанести ущерб их репутации», — сообщили эксперты.

Исследователи безопасности сообщили о своих находках Facebook, и компания выпустила исправление для данной проблемы шесть месяцев назад. Публичное раскрытие информации откладывалось, позволяя большинству пользователей Instagram обновить приложение.

Проблема связана с тем, как Instagram интегрировало библиотеку кодировщика JPEG с открытым исходным кодом MozJPEG, которая разработана для снижения пропускной способности и улучшение сжатия загружаемых изображений. Когда уязвимая функция («read_jpg_copy_loop») пытается проанализировать вредоносное изображение со специально созданными размерами, происходит целочисленное переполнение.

Для эксплуатации уязвимости хакеру достаточно отправить вредоносное изображение в формате JPEG жертве по электронной почте или в WhatsApp. Как только получатель сохраняет изображение на устройстве и запускает Instagram, эксплуатация происходит автоматически, предоставляя злоумышленнику полный контроль над приложением.

Уязвимость также можно использовать для вызова сбоя в работе приложения Instagram, сделав его недоступным, пока жертва не удалит программу и повторно не установит ее.

Última edición por un moderador:

Матушкин Андрей Николаевич

Президент IAPD
Miembro del equipo
Nivel de acceso privado
Full members of NP "MOD"
Registrado
1 Ene 1970
Mensajes
22.023
Puntuación de reacción
3.772
Puntos
113
Edad
53
Ubicación
Россия,
Sitio web
o-d-b.ru
Check Point Researchers uncovered Details of a critical vulnerability in the Instagram app for Android, the exploitation of which could allow remote attackers to take control of a target device by sending a specially crafted image.

The vulnerability not only allowed criminals to perform actions on behalf of the user in the Instagram app, including accessing the victim's private messages, deleting or posting photos from accounts, but also providing the ability to execute arbitrary code on the device.

The buffer overflow vulnerability (CVE-2020-1895) has a CVSS score of 7.8 and affects all versions of the Instagram app up to 128.0.0.26.128.

“The vulnerability turns the device into a tool to spy on users without their knowledge, and also allows them to maliciously manipulate their Instagram profile. In any case, an attack could lead to a serious invasion of users' privacy and damage their reputation, ”the experts said.
Thanks for the interesting material.
 
Original message
Исследователи из компании Check Point раскрыли подробности о критической уязвимости в приложении Instagram для Android, эксплуатация которой позволяла удаленным злоумышленникам перехватить контроль над целевым устройством путем отправки специально созданного изображения.

Уязвимость не только позволяла преступникам выполнять действия от имени пользователя в приложении Instagram, включая доступ к личным сообщениям жертвы, удаление или публикацию фотографий из учетных записей, но также предоставляла возможность выполнять произвольный код на устройстве.

Уязвимость переполнения буфера (CVE-2020-1895) получила оценку в 7,8 балла по шкале CVSS и затрагивает все версии приложения Instagram до 128.0.0.26.128.

«Уязвимость превращает устройство в инструмент для слежки за пользователями без их ведома, а также позволяет злонамеренно манипулировать их профилем в Instagram. В любом случае атака может привести к серьезному вторжению в частную жизнь пользователей и нанести ущерб их репутации», — сообщили эксперты.
Спасибо за интересный материал.
  • Like
Reacciones : НСК-СБ

Макаров Виталий Николаевич

Nivel de acceso privado
Full members of NP "MOD"
Registrado
10 Sep 2018
Mensajes
169
Puntuación de reacción
227
Puntos
43
Edad
46
Ubicación
Красноярский край, п. Н-Ингаш, ул. Таёжная, 1/1-1
Interesting stuff! Thanks!
 
Original message
Интересный материал! Спасибо!
  • Like
Reacciones : НСК-СБ

До нового года осталось