Как стать автором
Обновить

В Instagram нашли уязвимость, связанную с обработкой изображений

Информационная безопасностьРазработка мобильных приложенийСоциальные сети и сообществаIT-компании


Специалисты компании Check Point рассказали о найденной в начале этого года серьезной уязвимости в мобильном приложении Instagram для iOS и Android. Злоумышленники могли с помощью уязвимости CVE-2020-1895 получить практически полный доступ к смартфону жертвы, запустив на атакуемой системе удаленное выполнение произвольного кода. Все что им было нужно для этого — отправить пользователю картинку с вредоносным кодом и специально созданными размерами. Далее штатный алгоритм обработки изображений приложения Instagram использовался для успешного проведения атаки, основанной на переполнении кучи/хипа (heap buffer overflow).

Уязвимость CVE-2020-1895 была обнаружена Check Point в начале этого года. Ей были подвержены версии приложения Instagram вплоть до 128.0.0.26.128.

Расследование Check Point с помощью фаззинга показало, что разработчики Instagram неправильно использовали сторонний инструмент MozJPEG (открытый декодер JPEG от Mozilla).

Оказалось, что в приложении Instagram код обработчика этого инструмента имел свои ограничения. В нем можно было вызвать целочисленное переполнение, если приложение пытается обработать и открыть изображение большего размера, считая его меньшим — ранее полученную и сохраненную пользователем на смартфон вредоносную картинку со специально заданными размерами.

Примечательно, что у злоумышленника было два варианта дальнейшей атаки после запуска вредоносного кода после использования уязвимости:

  • получение информации со смартфона, включая просмотр и копирование контактов и сообщений, данных о местоположении пользователя и доступ к управлению камерой — все элементы и сервисы смартфона, к которым имело доступ приложение Instagram;
  • вызов непрерывного сбоя приложения Instagram при запуске, после удаления и переустановки приложения через некоторое время сбой можно вызвать снова.

В феврале 2020 года специалисты Facebook выпустили новые версии мобильных приложений Instagram с патчем против уязвимости CVE-2020-1895.

В середине сентября 2020 года Microsoft выпустила новый автоматизированный инструмент для разработчиков — Project OneFuzz. Это фаззинг решение в настоящее время уже заменило сервис Microsoft Security Risk Detection Service. Исходные коды инструмента Project OneFuzz уже доступны на GitHub под лицензией MIT, включая документацию и примеры.
Теги:InstagramатакапереполнениепроблемаMozJPEGфаззинг
Хабы: Информационная безопасность Разработка мобильных приложений Социальные сети и сообщества IT-компании
Всего голосов 19: ↑17 и ↓2 +15
Просмотры7.9K

Похожие публикации

Разработчик мобильных приложений (Kotlin)
от 140 000 до 180 000 ₽DuotekМосква
Разработчик мобильных и веб-приложений (Dart, Flutter, Vue.js)
от 100 000 до 150 000 ₽Национальный Центр РесурсоэффективностиМосква
Flutter developer/Разработчик мобильных приложений
от 150 000 до 250 000 ₽Syazan OUМожно удаленно
QA Engineer / Тестировщик мобильных и веб приложений
от 50 000 до 100 000 ₽Code PilotsСанкт-ПетербургМожно удаленно
Разработчик мобильных приложений Android (IoT, Умный дом)
от 100 000 до 150 000 ₽UnicornМожно удаленно

Лучшие публикации за сутки