Специалисты компании Check Point нашли в Instagram опасную уязвимость, которая позволяла следить за пользователями соцсети, сообщает zakon.kz.
Для этого достаточно было отправить жертве специальное изображение, сообщается в блоге компании, специализирующейся на кибербезопасности.
Через нее мошенники могли получить доступ к учетным данным пользователя, телефонным контактам и геопозиции.
Ошибка была найдена в Mozjpeg — сторонней библиотеке с открытым исходным кодом, которую Instagram использует в iOS- и Android-приложениях для декодирования JPEG-изображений, загружаемых на сервис.
Все, что требовалось для атаки – отправить жертве вредоносную картинку, причем любым способом (по электронной почте, через мессенджер и так далее). Пользователь сохраняет это изображение на своем телефоне, и когда после этого запускается Instagram, эксплоит срабатывает, предоставлял хакеру полный доступ к сообщениям и изображениям в Instagram жертвы, позволяя публиковать или удалять изображения, а также давая доступ к контактам телефона, камере, данным о местоположении и локальным файлам.
Как оказалось, MozJPEG использовалась в Instagram некорректно, и исследователям удалось спровоцировать целочисленное переполнение, когда уязвимая функция read_jpg_copy_loop пыталась обработать вредоносное изображение со специально заданными размерами.
Уточняется, что компания Facebook, которая владеет Instagram, уже устранила ошибку.