Она позволяла шпионить за пользователем и управлять его устройством
Компания Check Point® Software Technologies Ltd., ведущий поставщик решений в области кибербезопасности выявила критическую уязвимость в Instagram — популярном приложении для обмена фотографиями и видео с более чем 1 миллиардом пользователей по всему миру.
Эта уязвимость позволяла мошенникам завладеть аккаунтом жертвы в Instagram, отправив ей вредоносный файл с изображением. Если пользователь сохранял изображение и после этого открывал Instagram, хакер инициировал атаку и в результате мог управлять аккаунтом жертвы без ее ведома, получал доступ к контактам телефона, камере и данным о местоположении пользователя.
Ход атаки
- Злоумышленник отправляет жертве вредоносный файл с изображением на электронную почту, в WhatsApp или в другом приложении.
- Картинка сохраняется на устройстве автоматически или вручную самим пользователем.
- Как только жертва открывает Instagram, мошенник получает полный доступ к приложению.
Опасность стороннего кода
Исследователи Check Point обнаружили данную уязвимость в Mozjpeg — декодере JPEG с открытым исходным кодом, который Instagram использует для загрузки изображений в приложение. Разработчики не всегда пишут все приложение самостоятельно. Часто они экономят время, используя сторонний код для решения общих задач, таких как обработка изображений и звука, подключение к сети и многое другое. Однако специалисты Check Poin предупреждают разработчиков о потенциальных рисках использования сторонних кодов в своих приложениях без предварительной проверки их безопасности.
Раскрытие Информации
Исследователи Check Point оперативно поделились результатами исследования с компанией Facebook — владельцем Instagram. В Facebook признали проблему, описав уязвимость как “переполнение буфера». Компания уже выпустила патч для устранения уязвимости в новых версиях приложения Instagram на всех платформах.
«В результате нашего исследования мы пришли к двум выводам. Во-первых, сторонний код в составе приложения может представлять серьезную угрозу. Мы настоятельно призываем разработчиков проверять сторонние библиотеки кода. Сторонний код используется практически в каждом приложении, поэтому очень легко пропустить угрозу, — пояснил Янив Балмас (Yaniv Balmas), руководитель отдела кибер-исследований Check Point, — Во-вторых, пользователям следует внимательно относиться к разрешению доступа, которое они дают приложениям. Я рекомендую подумать некоторое время, прежде чем давать согласие приложению на доступ к тем или иным функциям или данным на устройстве, поскольку так вы можете обезопасить себя от потенциальной атаки».
Как себя обезопасить
- Регулярно обновляйте мобильные приложения и ОС. Разработчики исправляют критические уязвимости и еженедельно выпускают обновления, своевременная установка которых, обеспечивает конфиденциальность ваших данных.
- Обращайте внимание на приложения, запрашивающие разрешения. Подумайте несколько секунд, прежде чем давать свое согласие. Спросите себя, действительно ли вы хотите предоставить этому приложению доступ к вашим данным?
