Una falla crítica de Instagram podría permitir que los atacantes espíen …



Una vulnerabilidad de ejecución remota de código ahora parcheada podría explotarse con un archivo de imagen de tamaño especial, informan los investigadores.

Una falla crítica de Instagram podría haber permitido a los atacantes realizar la ejecución remota de código y acceder a la cámara, el micrófono y otros componentes de la víctima, encontraron los investigadores de Test Level.

CVE-2020-1895 tiene una puntuación CVSS de 7,8 y existe en la aplicación de Instagram tanto en Android como en iOS. Se descubrió a principios de febrero y se informó a Fb, el propietario de Instagram, que emitió un parche. Ahora que una solución ha estado disponible durante seis meses, los investigadores que descubrieron esta vulnerabilidad están revelando públicamente los detalles de cómo se desarrollaría un ataque.

«Todas las redes sociales se han convertido, en la actualidad, en el objetivo más preciado y deseado», dice el investigador de seguridad de Examine Place, Gal Elbaz. Fue por esta razón que el equipo de investigación decidió auditar la seguridad de Instagram en múltiples sistemas operativos, dice en un informe técnico.

Como muchas empresas de software, Instagram integra proyectos de código abierto de terceros en su software program. Esta falla existe en la forma en que united states of america Mozjpeg, un proyecto público creado por Mozilla que sirve como decodificador de formato JPEG de Instagram para las imágenes cargadas en la aplicación para compartir fotos.

Un atacante que quisiera explotar la vulnerabilidad solo necesitaría enviar una imagen al dispositivo de la víctima a través de WhatsApp, texto, correo electrónico o cualquier otro servicio de mensajería, dice Elbaz. La víctima guarda la imagen en su teléfono La próxima vez que esa persona abre Instagram, la explotación se lleva a cabo y le otorga al atacante permiso para cualquier recurso del teléfono al que pueda acceder Instagram.

Esto podría incluir la cámara del dispositivo, los servicios de ubicación / GPS, los contactos y el almacenamiento, entre otras cosas. Dentro de la aplicación de Instagram, el atacante podría realizar acciones en nombre del usuario, como leer mensajes, publicar y eliminar fotos o eliminar la aplicación por completo.

La función vulnerable maneja las dimensiones de la imagen al analizar archivos de imagen JPEG, dice Elbaz. Para aprovechar el error, debería enviarse una imagen con dimensiones mal formadas. De Facebook consultivo ya que el defecto lo describe como un «desbordamiento de enteros a desbordamiento de búfer» y dice que podría ocurrir un «desbordamiento de montón grande» al intentar cargar una imagen con dimensiones especialmente diseñadas. Afecta a las versiones de Instagram anteriores a 128…26.128.

El exploit no sería efectivo en teléfonos con permisos para Instagram deshabilitados, dice Yaniv Balmas, jefe de investigación cibernética de Verify Position. Sin embargo, hacerlo reduciría la funcionalidad de la aplicación. «Si Instagram no tiene ningún permiso, el exploit será inútil, pero, francamente, creo que Instagram también será inútil sin esos permisos», explica.

La vulnerabilidad no fue fácil de encontrar y explotar (Elbaz pasó meses trabajando en ella, dice Balmas), pero es bastante fácil para un atacante aprovecharla ahora que ha sido descubierta.

Qué deben aprender las empresas
Los investigadores optaron por explorar la seguridad de Instagram debido a su enorme base de usuarios, lo que la convierte en un objetivo atractivo para los atacantes. Sin embargo, Balmas apunta a un patrón de delincuentes que buscan comprar vulnerabilidades que les darán un acceso más amplio a los dispositivos.

«Vemos una tendencia de atacantes que intentan utilizar aplicaciones con permisos excesivos, y eso es algo con Instagram», dice. «(Tiene) todos estos permisos – cámara, micrófono, GPS, contactos, todas estas cosas – si simplemente logras explotar esta aplicación, realmente no necesitas avanzar en la explotación de todo el teléfono». Con acceso a los permisos de una aplicación como Instagram, un atacante tiene rienda suelta para explorar muchas de las funciones del dispositivo objetivo.

Esta vulnerabilidad individual existe en la forma en que Instagram usa Mozjpeg, y no en el proyecto de código abierto en sí, enfatiza Balmas. Dicho esto, ambos investigadores coinciden en que es importante que las organizaciones examinen cuidadosamente el código de terceros que utilizan en sus aplicaciones.

«Tienes que mirar la biblioteca de código abierto que usas como parte de tu código, porque es parte de tu código», dice Elbaz, señalando que trata el código de fuente abierta como lo haría con el código de los productos que escribe, con pruebas de penetración. y examen minucioso.

Aunque es purely natural no entender «cada bit y byte» que entra en el código fuente abierto, Balmas dice que es importante recordar que solo porque alguien más escribió el código no significa que esté libre de errores. Es muy probable que el código fuente abierto tenga vulnerabilidades.

Kelly Sheridan es la editora de personal de Dim Studying, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first