Ve zprávě sdílené s The Hacker News vědci společnosti Check Point zveřejnili podrobnosti o kritické zranitelnosti aplikace Instagram pro Android, která mohla umožnit vzdáleným útočníkům převzít kontrolu nad cílovým zařízením pouhým zasláním speciálně vytvořeného obrázku oběti.

Ještě znepokojivější je, že chyba nejen umožňuje útočníkům provádět akce jménem uživatele v aplikaci Instagram – včetně špehování soukromých zpráv oběti a dokonce mazání nebo zveřejňování fotografií z jejich účtů – ale také provádět libovolný kód v zařízení.

Podle oznámení zveřejněného společností Facebook mají problém se zabezpečením označeným jako CVE-2020-1895 se skóre CVSS 7,8 všechny verze aplikace Instagram před 128.0.0.26.128, která byla vydána 10. února.

Poté, co byla zjištění nahlášena Facebooku, společnost problém vyřešila aktualizací opravy vydanou před šesti měsíci. Zveřejnění informací bylo po celou dobu zpožděno, aby většina uživatelů Instagramu mohla aplikaci aktualizovat, čímž se snížilo riziko, které tato chyba zabezpečení může představovat.

Ačkoli Facebook potvrdil, že neexistují žádné známky toho, že by tato chyba byla využívána globálně, vývoj je další připomínkou toho, proč je důležité udržovat aplikace aktuální a dbát na oprávnění, která jim byla udělena.

Podle Check Point umožňuje zranitelnost poškození paměti vzdálené spuštění kódu, které by vzhledem k rozsáhlým oprávněním Instagramu pro přístup k fotoaparátu, kontaktům, GPS, knihovně fotografií a mikrofonu uživatele mohlo být použito k provedení jakékoli škodlivé akce na infikovaném zařízení.

Zdroj: thehackernews.com