В Instagram обнаружили новую уязвимость: она позволяла шпионить за пользователями
Илья Склюев –
Благодаря ранее неизвестной ошибке злоумышленники могли получить доступ к учётным данным пользователя, его телефонным контактам и геопозиции.
Специалисты компании Check Point обнаружили критическую уязвимость в работе приложения Instagram на Android и iOS. По данным разработчиков, она позволяла получить доступ не только к аккаунту, но и к основным функциям телефона пользователя.
Ошибка под кодовым названием CVE-2020-1895 была обнаружена специалистами ещё в начале этого года, после чего Facebook отчитался об её ликвидации в феврале, но до недавнего времени это событие не было известно широкой публике.
Обнаруженная уязвимость оказалась связана с особенностями работы Instagram со сторонними библиотеками, используемыми для обработки изображений, а конкретно с разработкой Mozzila Mozjpeg — декодере JPEG с открытым исходным кодом. Для взлома её соединения с продуктом Facebook оказалось достаточно всего лишь одного вредоносного изображения, загруженного на телефон.
Обхитрив систему загрузки JPEG, исследователи смогли получить доступ к приложению Instagram, а через него и ко всем доступным для программы функциям смартфона, таким как работа с телефонными контактами, геопозицией и камерой. Таким образом, по мнению разработчиков, перед нами вновь поднимается вопрос о слишком широких правах доступа, которые требуются для корректной работы большинства современных приложений.
«В результате нашего исследования мы пришли к двум выводам. Во-первых, сторонний код в составе приложения может представлять серьезную угрозу ... Во-вторых, пользователям следует внимательно относиться к разрешению доступа, которое они дают приложениям. Я рекомендую подумать некоторое время, прежде чем давать согласие приложению на доступ к тем или иным функциям или данным на устройстве, поскольку так вы можете обезопасить себя от потенциальной атаки», — отметил руководитель отдела кибер-исследований Check Point Янив Балмас.
Фото: Brett Jordan / Unsplash
Это новость от журнала ММ «Машины и механизмы». Не знаете такого? Приглашаем прямо сейчас познакомиться с этим удивительным журналом.