Contactez-nous dans Messengers ou par téléphone.

whatsapp telegram viber phone phone
+79214188555

Vulnerability in Instagram could allow remote access to the phone

НСК-СБ

Membre du Staff
Niveau d'accès privé
Full members of NP "MOD"
Inscrit
14 Juil. 2011
messages
3,180
Score de réaction
2,181
Points
613
Localisation
Новосибирск
Vulnerability in Instagram could allow remote access to the phone

Attackers could take control of the target device by sending a specially crafted image.
image


Check Point Researchers uncovered Details of a critical vulnerability in the Instagram app for Android, the exploitation of which could allow remote attackers to take control of a target device by sending a specially crafted image.

The vulnerability not only allowed criminals to perform actions on behalf of the user in the Instagram app, including accessing the victim's private messages, deleting or posting photos from accounts, but also providing the ability to execute arbitrary code on the device.

The buffer overflow vulnerability (CVE-2020-1895) has a CVSS score of 7.8 and affects all versions of the Instagram app up to 128.0.0.26.128.

“The vulnerability turns the device into a tool to spy on users without their knowledge, and also allows them to maliciously manipulate their Instagram profile. In any case, an attack could lead to a serious invasion of users' privacy and damage their reputation, ”the experts said.

Security researchers reported their findings to Facebook, and the company released a fix for the issue six months ago. Public disclosure has been delayed, allowing most Instagram users to update the app.

The issue stems from the way Instagram has integrated the open source MozJPEG JPEG encoder library, which is designed to lower bandwidth and improve the compression of uploaded images. An integer overflow occurs when a vulnerable function ("read_jpg_copy_loop") tries to parse a maliciously crafted image with specially sized dimensions.

To exploit the vulnerability, a hacker only needs to send a malicious JPEG image to the victim via email or WhatsApp. As soon as the recipient saves the image on the device and launches Instagram, exploitation occurs automatically, giving the attacker full control over the application.

The vulnerability can also be used to cause the Instagram app to crash, making it inaccessible until the victim uninstalls the program and reinstalls it.

 
Original message
Уязвимость в Instagram позволяла получить удаленный доступ к телефону

Злоумышленники могли перехватить контроль над целевым устройством путем отправки специально созданного изображения.
image


Исследователи из компании Check Point раскрыли подробности о критической уязвимости в приложении Instagram для Android, эксплуатация которой позволяла удаленным злоумышленникам перехватить контроль над целевым устройством путем отправки специально созданного изображения.

Уязвимость не только позволяла преступникам выполнять действия от имени пользователя в приложении Instagram, включая доступ к личным сообщениям жертвы, удаление или публикацию фотографий из учетных записей, но также предоставляла возможность выполнять произвольный код на устройстве.

Уязвимость переполнения буфера (CVE-2020-1895) получила оценку в 7,8 балла по шкале CVSS и затрагивает все версии приложения Instagram до 128.0.0.26.128.

«Уязвимость превращает устройство в инструмент для слежки за пользователями без их ведома, а также позволяет злонамеренно манипулировать их профилем в Instagram. В любом случае атака может привести к серьезному вторжению в частную жизнь пользователей и нанести ущерб их репутации», — сообщили эксперты.

Исследователи безопасности сообщили о своих находках Facebook, и компания выпустила исправление для данной проблемы шесть месяцев назад. Публичное раскрытие информации откладывалось, позволяя большинству пользователей Instagram обновить приложение.

Проблема связана с тем, как Instagram интегрировало библиотеку кодировщика JPEG с открытым исходным кодом MozJPEG, которая разработана для снижения пропускной способности и улучшение сжатия загружаемых изображений. Когда уязвимая функция («read_jpg_copy_loop») пытается проанализировать вредоносное изображение со специально созданными размерами, происходит целочисленное переполнение.

Для эксплуатации уязвимости хакеру достаточно отправить вредоносное изображение в формате JPEG жертве по электронной почте или в WhatsApp. Как только получатель сохраняет изображение на устройстве и запускает Instagram, эксплуатация происходит автоматически, предоставляя злоумышленнику полный контроль над приложением.

Уязвимость также можно использовать для вызова сбоя в работе приложения Instagram, сделав его недоступным, пока жертва не удалит программу и повторно не установит ее.

Dernière modification par un modérateur:

Матушкин Андрей Николаевич

Президент IAPD
Membre du Staff
Niveau d'accès privé
Full members of NP "MOD"
Inscrit
1 Janv. 1970
messages
22,023
Score de réaction
3,773
Points
113
Age
53
Localisation
Россия,
Site web
o-d-b.ru
Check Point Researchers uncovered Details of a critical vulnerability in the Instagram app for Android, the exploitation of which could allow remote attackers to take control of a target device by sending a specially crafted image.

The vulnerability not only allowed criminals to perform actions on behalf of the user in the Instagram app, including accessing the victim's private messages, deleting or posting photos from accounts, but also providing the ability to execute arbitrary code on the device.

The buffer overflow vulnerability (CVE-2020-1895) has a CVSS score of 7.8 and affects all versions of the Instagram app up to 128.0.0.26.128.

“The vulnerability turns the device into a tool to spy on users without their knowledge, and also allows them to maliciously manipulate their Instagram profile. In any case, an attack could lead to a serious invasion of users' privacy and damage their reputation, ”the experts said.
Thanks for the interesting material.
 
Original message
Исследователи из компании Check Point раскрыли подробности о критической уязвимости в приложении Instagram для Android, эксплуатация которой позволяла удаленным злоумышленникам перехватить контроль над целевым устройством путем отправки специально созданного изображения.

Уязвимость не только позволяла преступникам выполнять действия от имени пользователя в приложении Instagram, включая доступ к личным сообщениям жертвы, удаление или публикацию фотографий из учетных записей, но также предоставляла возможность выполнять произвольный код на устройстве.

Уязвимость переполнения буфера (CVE-2020-1895) получила оценку в 7,8 балла по шкале CVSS и затрагивает все версии приложения Instagram до 128.0.0.26.128.

«Уязвимость превращает устройство в инструмент для слежки за пользователями без их ведома, а также позволяет злонамеренно манипулировать их профилем в Instagram. В любом случае атака может привести к серьезному вторжению в частную жизнь пользователей и нанести ущерб их репутации», — сообщили эксперты.
Спасибо за интересный материал.
  • Réagir
Réactions: НСК-СБ

Макаров Виталий Николаевич

Niveau d'accès privé
Full members of NP "MOD"
Inscrit
10 Sept. 2018
messages
169
Score de réaction
227
Points
43
Age
46
Localisation
Красноярский край, п. Н-Ингаш, ул. Таёжная, 1/1-1
Interesting stuff! Thanks!
 
Original message
Интересный материал! Спасибо!
  • Réagir
Réactions: НСК-СБ

До нового года осталось