Уязвимость Instagram позволяла шпионить за пользователем и управлять его устройством

Компания Check Point Software Technologies обнаружила критическую уязвимость в Instagram – популярном приложении для обмена фотографиями и видео с более чем 1 млрд. пользователей по всему миру.

Эта уязвимость позволяла мошенникам завладеть аккаунтом жертвы в Instagram, отправив ей вредоносный файл с изображением. Если пользователь сохранял изображение и после этого открывал Instagram, хакер инициировал атаку и в результате мог управлять аккаунтом жертвы без ее ведома, получал доступ к контактам телефона, камере и данным о местоположении пользователя. В результате атаки жертва получала отказ в доступе к приложению до тех пор, пока оно не будет удалено и повторно установлено.

Исследователи Check Point выявили данную уязвимость в Mozjpeg – декодере JPEG с открытым исходным кодом, который Instagram использует для загрузки изображений в приложение. Разработчики не всегда пишут все приложение самостоятельно. Часто они экономят время, используя сторонний код для решения общих задач, таких как обработка изображений и звука, подключение к сети и многое другое. Однако специалисты Check Poin предупреждают разработчиков о потенциальных рисках использования сторонних кодов в своих приложениях без предварительной проверки их безопасности.

Исследователи Check Point оперативно поделились результатами исследования с компанией Facebook – владельцем Instagram. В Facebook признали проблему, описав уязвимость как «переполнение буфера». Компания уже выпустила патч для устранения уязвимости в новых версиях приложения Instagram на всех платформах.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365