Instagram

Un bug di Instagram trasforma i telefoni in spie

Una vulnerabilità RCE, ora corretta, non richiedeva che l'apertura di un file di immagine, per attivarsi
Un bug di Instagram trasforma i telefoni in spie FASTWEB S.p.A.

Facebook ha corretto una vulnerabilità critica di Instagram che avrebbe potuto portare all'esecuzione di un codice in modalità remota e al controllo di fotocamere e microfoni, permettendo così di prendere possesso dell'account di un utente.

Segnalato privatamente a Facebook, proprietaria di Instagram, da Check Point, il difetto di sicurezza è descritto come "una vulnerabilità critica nell'elaborazione delle immagini di Instagram". Monitorato come CVE-2020-1895 con un punteggio CVSS di 7,8, l'avviso di sicurezza di Facebook afferma che la vulnerabilità era un problema di heap overflow. "Un grande heap overflow potrebbe verificarsi in Instagram per Android quando si tenta di caricare un'immagine opportunamente modificata per sfruttare il bug. Ciò rigurada le versioni precedenti alla 128.0.0.26.128", affermava l' avviso.

In un post sul blog di giovedì scorso, i ricercatori di sicurezza informatica di Check Point hanno affermato che l'invio di una singola immagine dannosa era sufficiente per bucare Instagram. L'attacco poteva essere attivato una volta che un'immagine creata veniva inviata, tramite e-mail, WhatsApp, SMS o qualsiasi altra piattaforma di comunicazione, e quindi salvata sul dispositivo della vittima.

Indipendentemente dal fatto che un'immagine venisse salvata localmente era sufficiente riaprire Instagram per condividerla per eseguire il codice dannoso.

Il problema sta nel modo in cui Instagram gestisce le librerie di terze parti utilizzate per l'elaborazione delle immagini. In particolare, Check Point si è concentrato su Mozjpeg, un decoder JPEG open source sviluppato da Mozilla che è stato utilizzato in modo improprio da Instagram per gestire i caricamenti di immagini. Un file immagine creato può contenere un payload in grado di sfruttare l'ampio elenco di autorizzazioni di Instagram su un dispositivo mobile, garantendo l'accesso a "qualsiasi risorsa nel telefono pre-autorizzata da Instagram", afferma il team. Ciò può includere l'accesso ai contatti del telefono di un dispositivo, ai dati di posizione e GPS, alla fotocamera e ai file memorizzati localmente. Sulla stessa app di Instagram, la vulnerabilità RCE potrebbe essere utilizzata anche per intercettare messaggi diretti e leggerli; eliminare o pubblicare foto senza autorizzazione o modificare le impostazioni dell'account.

"Al livello più elementare, lo sfruttamento potrebbe essere utilizzato per arrestare in modo anomalo l'app Instagram di un utente, negandogli l'accesso all'app fino a quando non la elimina dal proprio dispositivo e la reinstalla, causando inconvenienti e possibile perdita di dati", ha aggiunto Check Point.

La descrizione della vulnerabilità è stata resa nota sei mesi dopo la segnalazione privata, per dare alla maggior parte degli utenti il tempo di fare gli aggiornamenti di sicurezza e mitigare il rischio di exploit.

"Abbiamo risolto il problema e non abbiamo notato alcuna prova di abuso", ha detto Facebook. "Siamo grati per l'aiuto di Check Point nel mantenere Instagram al sicuro".

Fonte: zdnet.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail