Эксперты компании Check Point обнаружили критическую уязвимость в приложении Instagram, через которую преступники могли получить доступ к учетным данным пользователя, его телефонным контактам и геопозиции, говорится в известьи компании.
Компания Facebook, владеющая Instagram, уже устранила ошибку.
По информации знатоков, злоумышленник отправлял жертве сперва вредоносный файл с изображением на электронную почту, в WhatsApp или в приятелем приложении. "Эта уязвимость позволяла плутам завладеть аккаунтом жертвы в Instagram, отправив ей вредоносный файл с изображением. Если пользователь хранил изображение и после этого отмыкал Instagram, хакер инициировал атаку и в итоге мог управлять аккаунтом жертвы без ее ведома, получал доступ к контактам телефона, камере и данным о местоположении пользователя", - пишут они.
Уязвимость находилась в Mozjpeg - декодере JPEG с открытым исходным кодом, который Instagram использует для загрузки изображений в приложение. Эксперты Check Point оперативно поделились результатами исследования с компанией Facebook - владельцем Instagram. "В Facebook признали проблему, описав уязвимость как "переполнение буфера". Компания уже выпустила патч для устранения уязвимости в новых версиях приложения Instagram на всех платформах", - отмечается в сообщении.
"В результате нашего исследования мы пришли к двум выводам. Во-первых, сторонний код в составе приложения может представлять серьезную угрозу. Мы настойчиво призываем разработчиков проверять сторонние библиотеки кода. Сторонний код используется практически в любом приложении, поэтому намного проще пропустить угрозу. Во-вторых, пользователям следует бдительно относиться к разрешению доступа, которое они дают приложениям. Я советую подумать некоторое время, когда уже давать согласие приложению на доступ к тем или другим функциям или данным на устройстве, поскольку так вы в состоянии принять меры предосторожности от потенциальной атаки", - прокомментировал руководитель отдела кибер-исследований Check Point Янив Балмас (Yaniv Balmas).