Facebook ha corretto una vulnerabilità critica di Instagram che avrebbe potuto portare all’esecuzione di un codice in modalità remota e al controllo di fotocamere e microfoni, permettendo così di prendere possesso dell’account di un utente.
Segnalato privatamente a Facebook, proprietaria di Instagram, da Check Point, il difetto di sicurezza è descritto come “una vulnerabilità critica nell’elaborazione delle immagini di Instagram”. Monitorato come CVE-2020-1895 con un punteggio CVSS di 7,8, l’avviso di sicurezza di Facebook afferma che la vulnerabilità era un problema di heap overflow. “Un grande heap overflow potrebbe verificarsi in Instagram per Android quando si tenta di caricare un’immagine opportunamente modificata per sfruttare il bug. Ciò rigurada le versioni precedenti alla 128.0.0.26.128”, affermava l’ avviso.
In un post sul blog di giovedì scorso, i ricercatori di sicurezza informatica di Check Point hanno affermato che l’invio di una singola immagine dannosa era sufficiente per bucare Instagram. L’attacco poteva essere attivato una volta che un’immagine creata veniva inviata, tramite e-mail, WhatsApp, SMS o qualsiasi altra piattaforma di comunicazione, e quindi salvata sul dispositivo della vittima.
Indipendentemente dal fatto che un’immagine venisse salvata localmente era sufficiente riaprire Instagram per condividerla per eseguire il codice dannoso.
Il problema sta nel modo in cui Instagram gestisce le librerie di terze parti utilizzate per l’elaborazione delle immagini. In particolare, Check Point si è concentrato su Mozjpeg, un decoder JPEG open source sviluppato da Mozilla che è stato utilizzato in modo improprio da Instagram per gestire i caricamenti di immagini. Un file immagine creato può contenere un payload in grado di sfruttare l’ampio elenco di autorizzazioni di Instagram su un dispositivo mobile, garantendo l’accesso a “qualsiasi risorsa nel telefono pre-autorizzata da Instagram”, afferma il team. Ciò può includere l’accesso ai contatti del telefono di un dispositivo, ai dati di posizione e GPS, alla fotocamera e ai file memorizzati localmente. Sulla stessa app di Instagram, la vulnerabilità RCE potrebbe essere utilizzata anche per intercettare messaggi diretti e leggerli; eliminare o pubblicare foto senza autorizzazione o modificare le impostazioni dell’account.
“Al livello più elementare, lo sfruttamento potrebbe essere utilizzato per arrestare in modo anomalo l’app Instagram di un utente, negandogli l’accesso all’app fino a quando non la elimina dal proprio dispositivo e la reinstalla, causando inconvenienti e possibile perdita di dati”, ha aggiunto Check Point.
La descrizione della vulnerabilità è stata resa nota sei mesi dopo la segnalazione privata, per dare alla maggior parte degli utenti il tempo di fare gli aggiornamenti di sicurezza e mitigare il rischio di exploit.
“Abbiamo risolto il problema e non abbiamo notato alcuna prova di abuso”, ha detto Facebook. “Siamo grati per l’aiuto di Check Point nel mantenere Instagram al sicuro”.
Fonte Fastweb.it