Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Instagram-аккаунты пользователей можно взломать с помощью картинки

root

СисАдмин Форума
Команда форума
Действительный члены НП "МОД"
Регистрация
17 Февраль 2007
Сообщения
581
Реакции
836
Баллы
93
Возраст
55
Instagram-аккаунты пользователей можно взломать с помощью картинки

044fdcc74940db9cbcbee.png

Опасный баг в Android- и iOS-версии приложения Instagram открывает потенциальному злоумышленнику возможность для захвата аккаунта жертвы и шпионажа за пользователем мобильного устройства. Эксплуатация требует отправки специально созданного изображения через мессенджер или электронную почту.
Проблема заключается в способе обработки изображений. Как только Instagram получает доступ к определённой картинке и предлагает возможность запостить её, появляется вектор атаки.
Технически уязвимость, получившая идентификатор CVE-2020-1895, представляет собой банальное переполнение буфера. Баг проявляется в момент, когда Instagram пытается запостить изображение больших размеров, при этом считая, что оно маленькое.
Разработчики в штате Facebook уже устранили брешь, а на официальном ресурсе появилось соответствующее уведомление о проблеме безопасности. Подробности бага описал эксперт компании Check Point Гал Элбаз.
По словам специалиста, имплементация стороннего кода в Instagram приводит к серьёзным рискам — в частности, создаёт возможность для удалённого выполнения кода.
3b84561879fdd6a4f0f04.png

В данном случае роковую роль сыграло жёстко закодированное значение константы, которое разработчики Instagram добавили при интеграции с Mozjpeg. Элбаз описал приблизительный алгоритм атаки с эксплуатацией описанной уязвимости:
  1. Злоумышленник отправляет жертве вредоносное изображение (через WhatsApp, СМС-сообщение, электронную почту или любой другой сервис обмена текстом).
  2. Если пользователь сохраняет картинку, а впоследствии запускает Instagram, начинается эксплуатация уязвимости, позволяющая атакующему получить полный доступ к устройству жертвы.
  3. Также баг позволяет постоянно выводить приложение из строя.
b986807452b49e4b2a26b.png




Источник
 
Последнее редактирование модератором:

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Матушкин Андрей Николаевич

Президент IAPD
Команда форума
Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
1 Январь 1970
Сообщения
20.484
Реакции
3.074
Баллы
113
Возраст
50
Адрес
Россия,
Веб-сайт
o-d-b.ru

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Детектив-Молдова

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
24 Ноябрь 2010
Сообщения
1.977
Реакции
462
Баллы
83
Возраст
59
Адрес
Молдова, Кишинев, тел.(Viber): +37369270011
Веб-сайт
adp-dia.com
Будем иметь ввиду и защищаться )))
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Макаров Виталий Николаевич

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
10 Сентябрь 2018
Сообщения
171
Реакции
232
Баллы
43
Возраст
44
Адрес
Красноярский край, п. Н-Ингаш, ул. Таёжная, 1/1-1
Спасибо за интересный материал!
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Turdubaev Dastan

Зарегистрированный
Регистрация
13 Июль 2021
Сообщения
235
Реакции
114
Баллы
28
Возраст
25
Адрес
Москва
Я думал такая ситуация только с компанией Facebook:)
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Похожие темы

Похожие темы