Лента новостей
0

Уязвимость Instagram позволяла шпионить за пользователем

The US Sun, фото - Новости Zakon.kz от 26.09.2020 12:24 The US Sun
Злоумышленник мог управлять устройством без ведома владельца.

Специалисты компании Check Point нашли в Instagram опасную уязвимость, которая позволяла следить за пользователями соцсети, сообщает zakon.kz.

Для этого достаточно было отправить жертве специальное изображение, сообщается в блоге компании, специализирующейся на кибербезопасности.

Через нее мошенники могли получить доступ к учетным данным пользователя, телефонным контактам и геопозиции.

Ошибка была найдена в Mozjpeg — сторонней библиотеке с открытым исходным кодом, которую Instagram использует в iOS- и Android-приложениях для декодирования JPEG-изображений, загружаемых на сервис.

Все, что требовалось для атаки – отправить жертве вредоносную картинку, причем любым способом (по электронной почте, через мессенджер и так далее). Пользователь сохраняет это изображение на своем телефоне, и когда после этого запускается Instagram, эксплоит срабатывает, предоставлял хакеру полный доступ к сообщениям и изображениям в Instagram жертвы, позволяя публиковать или удалять изображения, а также давая доступ к контактам телефона, камере, данным о местоположении и локальным файлам.

Как оказалось, MozJPEG использовалась в Instagram некорректно, и исследователям удалось спровоцировать целочисленное переполнение, когда уязвимая функция read_jpg_copy_loop пыталась обработать вредоносное изображение со специально заданными размерами.

Уточняется, что компания Facebook, которая владеет Instagram, уже устранила ошибку.

Следите за новостями zakon.kz в:
Поделиться
Если вы видите данное сообщение, значит возникли проблемы с работой системы комментариев. Возможно у вас отключен JavaScript
Будьте в тренде!
Включите уведомления и получайте главные новости первым!

Уведомления можно отключить в браузере в любой момент

Подпишитесь на наши уведомления!
Нажмите на иконку колокольчика, чтобы включить уведомления
Сообщите об ошибке на странице
Ошибка в тексте: