Instagram-аккаунты пользователей можно взломать с помощью картинки

root

СисАдмин Форума
Команда форума
Действительный члены НП "МОД"
Регистрация
17 Февраль 2007
Сообщения
353
Репутация
227
Баллы
43
Возраст
53
Instagram-аккаунты пользователей можно взломать с помощью картинки


Опасный баг в Android- и iOS-версии приложения Instagram открывает потенциальному злоумышленнику возможность для захвата аккаунта жертвы и шпионажа за пользователем мобильного устройства. Эксплуатация требует отправки специально созданного изображения через мессенджер или электронную почту.
Проблема заключается в способе обработки изображений. Как только Instagram получает доступ к определённой картинке и предлагает возможность запостить её, появляется вектор атаки.
Технически уязвимость, получившая идентификатор CVE-2020-1895, представляет собой банальное переполнение буфера. Баг проявляется в момент, когда Instagram пытается запостить изображение больших размеров, при этом считая, что оно маленькое.
Разработчики в штате Facebook уже устранили брешь, а на официальном ресурсе появилось соответствующее уведомление о проблеме безопасности. Подробности бага описал эксперт компании Check Point Гал Элбаз.
По словам специалиста, имплементация стороннего кода в Instagram приводит к серьёзным рискам — в частности, создаёт возможность для удалённого выполнения кода.

В данном случае роковую роль сыграло жёстко закодированное значение константы, которое разработчики Instagram добавили при интеграции с Mozjpeg. Элбаз описал приблизительный алгоритм атаки с эксплуатацией описанной уязвимости:
  1. Злоумышленник отправляет жертве вредоносное изображение (через WhatsApp, СМС-сообщение, электронную почту или любой другой сервис обмена текстом).
  2. Если пользователь сохраняет картинку, а впоследствии запускает Instagram, начинается эксплуатация уязвимости, позволяющая атакующему получить полный доступ к устройству жертвы.
  3. Также баг позволяет постоянно выводить приложение из строя.




Источник
 
Последнее редактирование модератором:

Матушкин Андрей Николаевич

Президент IAPD
Команда форума
Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
1 Январь 1970
Сообщения
19.626
Репутация
1.307
Баллы
113
Возраст
49
Адрес
Россия,
Веб-сайт
o-d-b.ru

Детектив-Молдова

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
24 Ноябрь 2010
Сообщения
1.930
Репутация
378
Баллы
83
Возраст
57
Адрес
Молдова, Кишинев, тел.(Viber): +37369270011
Веб-сайт
adp-dia.com
Thread starter Похожие темы Forum Replies Date
НСК-СБ Уязвимость в Instagram позволяла получить удаленный доступ к телефону Информационная безопасность. 3
Алексей С Услуги OSINT: соц.сети, глубокий анализ ВКонтакте, поиск информации Приглашаем к сотрудничеству. 10
НСК-СБ В первый день "эпохи GDPR" против Facebook, Google, Instagram и WhatsApp подали крупные иски Разное. Другие интересные темы. 0
НСК-СБ Владею ли я своими фотографиями и сообщениями на ВК, Однокласники, Instagram, Facebook и Twitter? Вопросы о спорах, связанных с Интернетом, высокими технологиями. 2
НСК-СБ «Лаборатория Касперского»: аккаунты пользователя Сети можно купить за $50 Информационная безопасность. 0
DronVR Как перехватить аккаунты соц.сетей, почты и личную информацию по Wi-Fi с помощью Android. Психология преступления 0
Матушкин Андрей Николаевич Наши официальные аккаунты в Facebook Информация о NP "International Association of Private Detectives". 1
root 71% пользователей не может отличить вредоносные QR-коды от безобидных Интересные статьи и заметки. 0
НСК-СБ От имени МВД России зловред блокирует смартфоны и угрожает задержанием пользователей Информационная безопасность. 4
НСК-СБ WhatsApp, Signal и Telegram подвергают риску конфиденциальность пользователей Мобильный телефон и скрытные опасности. 3
root В Смоленской области Госавтоинспекция провела профилактическое мероприятие «Соблюдай правила!» для пользователей средств индивидуальной мобильности Новости МВД России 0
НСК-СБ Facebook будет предупреждать пользователей Messenger о мошенниках Информационная безопасность. 0
root В Пскове общественники провели он-лайн акцию по проблеме безопасного поведения пользователей в соцсетях Новости МВД России 0
root В Саратове полиция инициировала для пользователей интернета акцию «Сидим дома, изучаем ПДД» Новости МВД России 0
DronVR 78% пользователей забывают свои пароли спустя 90 дней Информационная безопасность. 1
root Госавтоинспекция предлагает обсудить необходимость определения правового статуса пользователей электронных устройств передвижения Новости МВД России 0
root Сотрудники костромской полиции в день блогера познакомили активных пользователей Интернета с работой Управления по вопросам миграции Новости МВД России 0
root В день блогера сотрудники ГУ МВД России по Челябинской области провели блог-тур для активных пользователей Интернета Новости МВД России 0
root ФСБ потребовала ключи шифрования переписки пользователей у «Яндекса» Информационная безопасность. 0
НСК-СБ Новости Исследователи изучили, как веб-сервисы регулируют пароли пользователей Информационная безопасность. 0
Демитрий Тайминг-атака. Как спецслужбы деанонимизируют пользователей мессенджеров. Информационная безопасность. 1
НСК-СБ Вся жизнь пользователей сети может оказаться в открытом доступе Интересные статьи и заметки. 0
НСК-СБ Российских пользователей атакует банковский троян Asacub Информационная безопасность. 0
DronVR Telegram будет раскрывать данные пользователей спецслужбам по решению суда Информационная безопасность. 1
НСК-СБ Facebook обвинили в разглашении личных данных пользователей Внимание! Осторожно-социальные сети! 0
Демитрий Лучшие VPN-сервисы по отзывам пользователей Информационная безопасность. 0
НСК-СБ Facebook обвинили в хранении данных о звонках и SMS пользователей Внимание! Осторожно-социальные сети! 0
НСК-СБ В базах операторов связи могут появиться данные о псевдонимах и мессенджерах пользователей Мобильный телефон и скрытные опасности. 0
Ivan Glinkin Контроль активности пользователей в сети Интернет. Иван Глинкин. Доклады на VIII конференции "International Association of Private Detectives" 27-28 сентября 2017 г.. 0
Матушкин Андрей Николаевич Новый вирус, опасный для всех пользователей WhatsApp. Интересные статьи и заметки. Interested articles and notes. 0
D Бесплатное обучение для пользователей форума Курилка. Общение обо всём. 2
Ющук Евгений Леонидович Браузер Chrome может записывать разговоры пользователей Разное 6
Eugen Под видом обычных пользователей интернет заполонили боты Интересные статьи и заметки. 6
Марат Как спецслужбы России следят за гражданами в сети Курилка. Общение обо всём. 12
частный детектив Химки Алкозамки для пользователей форума Флудильня, темы не представленные в полуприватном разделе. 13
Витаутас. Частный детектив г. Вильнюс. Литва Советы по безопасности для пользователей смартфонов Информационная безопасность. 5
Игорь Коракс СБУ предупреждает интернет-пользователей о мошенничестве Интересные статьи и заметки. 7
НСК-СБ Мошенники собирают личные данные российских пользователей че Криминал. Мошенничество. Коррупция. 8
Детективное агентство ИКС-Инфо. Ловушки Интернета для пользователей Внимание! Осторожно-социальные сети! 1
Детективное агентство Симферополь Мошенники украли логины у 55000 пользователей "ВКонтакте" Внимание! Осторожно-социальные сети! 1
Адвокат Осуждены сисадмины, потрошившие счета интернет-пользователей Происшествия. Криминал. 1
Частный детектив. Razvedka54. Новосибирск. Перехватчики паролей пользователей операционных систем Хакеры. 1
ИнфоПоиск Со всех пользователей Интернета сняты отпечатки пальцев Осторожно! Высокие технологии. 1

Похожие темы