Pull to refresh

В Instagram нашли уязвимость, связанную с обработкой изображений

Reading time 2 min
Views 8.3K


Специалисты компании Check Point рассказали о найденной в начале этого года серьезной уязвимости в мобильном приложении Instagram для iOS и Android. Злоумышленники могли с помощью уязвимости CVE-2020-1895 получить практически полный доступ к смартфону жертвы, запустив на атакуемой системе удаленное выполнение произвольного кода. Все что им было нужно для этого — отправить пользователю картинку с вредоносным кодом и специально созданными размерами. Далее штатный алгоритм обработки изображений приложения Instagram использовался для успешного проведения атаки, основанной на переполнении кучи/хипа (heap buffer overflow).

Уязвимость CVE-2020-1895 была обнаружена Check Point в начале этого года. Ей были подвержены версии приложения Instagram вплоть до 128.0.0.26.128.

Расследование Check Point с помощью фаззинга показало, что разработчики Instagram неправильно использовали сторонний инструмент MozJPEG (открытый декодер JPEG от Mozilla).

Оказалось, что в приложении Instagram код обработчика этого инструмента имел свои ограничения. В нем можно было вызвать целочисленное переполнение, если приложение пытается обработать и открыть изображение большего размера, считая его меньшим — ранее полученную и сохраненную пользователем на смартфон вредоносную картинку со специально заданными размерами.

Примечательно, что у злоумышленника было два варианта дальнейшей атаки после запуска вредоносного кода после использования уязвимости:

  • получение информации со смартфона, включая просмотр и копирование контактов и сообщений, данных о местоположении пользователя и доступ к управлению камерой — все элементы и сервисы смартфона, к которым имело доступ приложение Instagram;
  • вызов непрерывного сбоя приложения Instagram при запуске, после удаления и переустановки приложения через некоторое время сбой можно вызвать снова.

В феврале 2020 года специалисты Facebook выпустили новые версии мобильных приложений Instagram с патчем против уязвимости CVE-2020-1895.

В середине сентября 2020 года Microsoft выпустила новый автоматизированный инструмент для разработчиков — Project OneFuzz. Это фаззинг решение в настоящее время уже заменило сервис Microsoft Security Risk Detection Service. Исходные коды инструмента Project OneFuzz уже доступны на GitHub под лицензией MIT, включая документацию и примеры.
Tags:
Hubs:
If this publication inspired you and you want to support the author, do not hesitate to click on the button
+15
Comments 12
Comments Comments 12

Other news