Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Уязвимость в Instagram позволяла получить удаленный доступ к телефону

НСК-СБ

Команда форума
Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
14 Июль 2011
Сообщения
3.171
Реакции
2.160
Баллы
613
Адрес
Новосибирск
Уязвимость в Instagram позволяла получить удаленный доступ к телефону

Злоумышленники могли перехватить контроль над целевым устройством путем отправки специально созданного изображения.
image


Исследователи из компании Check Point раскрыли подробности о критической уязвимости в приложении Instagram для Android, эксплуатация которой позволяла удаленным злоумышленникам перехватить контроль над целевым устройством путем отправки специально созданного изображения.

Уязвимость не только позволяла преступникам выполнять действия от имени пользователя в приложении Instagram, включая доступ к личным сообщениям жертвы, удаление или публикацию фотографий из учетных записей, но также предоставляла возможность выполнять произвольный код на устройстве.

Уязвимость переполнения буфера (CVE-2020-1895) получила оценку в 7,8 балла по шкале CVSS и затрагивает все версии приложения Instagram до 128.0.0.26.128.

«Уязвимость превращает устройство в инструмент для слежки за пользователями без их ведома, а также позволяет злонамеренно манипулировать их профилем в Instagram. В любом случае атака может привести к серьезному вторжению в частную жизнь пользователей и нанести ущерб их репутации», — сообщили эксперты.

Исследователи безопасности сообщили о своих находках Facebook, и компания выпустила исправление для данной проблемы шесть месяцев назад. Публичное раскрытие информации откладывалось, позволяя большинству пользователей Instagram обновить приложение.

Проблема связана с тем, как Instagram интегрировало библиотеку кодировщика JPEG с открытым исходным кодом MozJPEG, которая разработана для снижения пропускной способности и улучшение сжатия загружаемых изображений. Когда уязвимая функция («read_jpg_copy_loop») пытается проанализировать вредоносное изображение со специально созданными размерами, происходит целочисленное переполнение.

Для эксплуатации уязвимости хакеру достаточно отправить вредоносное изображение в формате JPEG жертве по электронной почте или в WhatsApp. Как только получатель сохраняет изображение на устройстве и запускает Instagram, эксплуатация происходит автоматически, предоставляя злоумышленнику полный контроль над приложением.

Уязвимость также можно использовать для вызова сбоя в работе приложения Instagram, сделав его недоступным, пока жертва не удалит программу и повторно не установит ее.

 
Последнее редактирование модератором:

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Матушкин Андрей Николаевич

Президент IAPD
Команда форума
Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
1 Январь 1970
Сообщения
21.938
Реакции
3.756
Баллы
113
Возраст
53
Адрес
Россия,
Веб-сайт
o-d-b.ru
Исследователи из компании Check Point раскрыли подробности о критической уязвимости в приложении Instagram для Android, эксплуатация которой позволяла удаленным злоумышленникам перехватить контроль над целевым устройством путем отправки специально созданного изображения.

Уязвимость не только позволяла преступникам выполнять действия от имени пользователя в приложении Instagram, включая доступ к личным сообщениям жертвы, удаление или публикацию фотографий из учетных записей, но также предоставляла возможность выполнять произвольный код на устройстве.

Уязвимость переполнения буфера (CVE-2020-1895) получила оценку в 7,8 балла по шкале CVSS и затрагивает все версии приложения Instagram до 128.0.0.26.128.

«Уязвимость превращает устройство в инструмент для слежки за пользователями без их ведома, а также позволяет злонамеренно манипулировать их профилем в Instagram. В любом случае атака может привести к серьезному вторжению в частную жизнь пользователей и нанести ущерб их репутации», — сообщили эксперты.
Спасибо за интересный материал.
 
  • Нравится!
Реакции: НСК-СБ

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Николай 37

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
5 Февраль 2020
Сообщения
128
Реакции
183
Баллы
43
Возраст
53
Адрес
иваново
Очень интересно, спасибо за просвещение!
 
  • Нравится!
Реакции: НСК-СБ

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Макаров Виталий Николаевич

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
10 Сентябрь 2018
Сообщения
169
Реакции
227
Баллы
43
Возраст
46
Адрес
Красноярский край, п. Н-Ингаш, ул. Таёжная, 1/1-1
Интересный материал! Спасибо!
 
  • Нравится!
Реакции: НСК-СБ

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Частный детектив. Армения. Ереван.

Приватный уровень доступа
Регистрация
30 Март 2010
Сообщения
517
Реакции
241
Баллы
43
Адрес
Армения, Ереван.
Страшно это представить. Интересно, а закрытых аккаунтов могли взломать?
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Turdubaev Dastan

Зарегистрированный
Регистрация
13 Июль 2021
Сообщения
279
Реакции
128
Баллы
43
Возраст
27
Адрес
Москва
Удивлен, что это произошло с Инстаграмом , а не с Facebook
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Похожие темы