Facebook solucionó un error de RCE en Instagram que podía espiar a los usuarios

Investigadores en Check Point informó un error de RCE en Instagram, que se puede explorar con un solo archivo de imagen. O El error fue sobre cómo Instagram maneja las cargas y el procesamiento de imágenes.y explorarlo puede otorgar al atacante todos los permisos que tiene Instagram. Esto se informó a Facebook y se corrigió en Última actualización de Instagram, lo que sugiere que los usuarios actualicen inmediatamente.

¡El error de Instagram RCE puede espiarte!

Con más de mil millones de usuarios y contando, Instagram es la plataforma para compartir fotos más popular de Facebook y es utilizada principalmente por adolescentes. Se ha informado que la aplicación de Android de la plataforma tiene un error crítico que, si se explota, podría otorgar al pirata informático todos los permisos que un usuario ya le ha otorgado a Instagram.

Documentado por Control, una empresa de ciberseguridad, los investigadores señalaron cómo Instagram hizo un mal uso del procesamiento de imágenes utilizando una herramienta de código abierto. Esto se informó a Facebook en particular hace unos seis meses, pero ahora se ha documentado para dar tiempo a los usuarios para actualizar sus aplicaciones. Seguimiento como CVE-2020-1895, la vulnerabilidad recibió un puntuación de gravedad de 7,8 / 10.

Facebook tiene emitió un comunicado en relación con el error de hoy, llamando al «desbordamiento de pila grande”Ser la causa. Avance, «Puede suceder en Instagram para Android al intentar cargar una imagen con dimensiones especialmente creadas. Esto afecta a las versiones anteriores a 128.0.0.26.128.Los investigadores de Check Point, por otro lado, explicaron las devastadoras consecuencias de este error de RCE.

Explicaron cómo Instagram hizo un mal uso de la Mozjpeg, un decodificador JPEG de código abierto desarrollado por Mozilla para manejar la carga de imágenes. Los investigadores dijeron que al enviar un simple archivo de imagen, que lleva una carga útil maliciosa y creado para desencadenar el error, podría secuestrar el teléfono del objetivo. La imagen se puede enviar por cualquier medio y, cuando el usuario la guarda en el dispositivo, le da al atacante la oportunidad de iniciar el pirateo.

Abrir Instagram después de guardar la imagen desencadena el error y permitirá al atacante obtener acceso a los permisos predefinidos otorgados por el usuario a Instagram. Esto puede incluir ubicación, contactos, cámara y almacenamiento interno. También el El atacante podría usar este error de RCE para interpretar mensajes directos e incluso publicar / eliminar las publicaciones del usuario en Instagram.