Après avoir audité la sécurité des applications Instagram pour Android et iOS, les chercheurs en sécurité de Check Point ont découvert une vulnérabilité critique qui pourrait être utilisée pour exécuter du code à distance sur le smartphone d’une victime.
La société de sécurité a commencé son enquête sur la populaire application de médias sociaux dans le but d’examiner les projets tiers qu’elle utilise. De nombreux développeurs de logiciels de toutes tailles utilisent des projets open source dans leurs logiciels pour gagner du temps et de l’argent. Lors de son audit de sécurité des applications d’Instagram, Check Point a découvert une vulnérabilité dans la manière dont le service utilise le projet open source Mozjpeg comme décodeur au format JPEG pour le téléchargement d’images.
La vulnérabilité a été découverte en fuzzing le projet open source. Pour ceux qui ne le savent pas, le fuzzing consiste à placer ou à injecter délibérément des données brouillées dans une application ou un programme spécifique. Si le logiciel ne gère pas correctement les données inattendues, les développeurs peuvent alors identifier les failles de sécurité potentielles et y remédier avant que les utilisateurs ne soient mis en danger.
Pour exploiter la vulnérabilité des applications mobiles d’Instagram, un attaquant n’aurait qu’à envoyer à une victime potentielle une seule image malveillante par e-mail ou sur les réseaux sociaux. Si cette image est ensuite enregistrée sur l’appareil d’un utilisateur, cela déclencherait l’exploitation de la vulnérabilité une fois qu’une victime ouvrirait l’application, ce qui donnerait alors à un attaquant un accès complet à son appareil pour une prise de contrôle à distance.
Sommaire
Vulnérabilité d’exécution de code à distance
La vulnérabilité découverte par les chercheurs de Check Point donne à un attaquant un contrôle total sur l’application Instagram d’un utilisateur, ce qui lui permettrait de lire des messages directs, de supprimer ou de publier des photos ou de modifier les détails du profil du compte d’un utilisateur. Cependant, étant donné qu’Instagram dispose d’autorisations étendues sur l’appareil d’un utilisateur, la vulnérabilité pourrait être utilisée pour accéder à leur contenu, aux données de localisation, à la caméra et à tous les fichiers stockés sur leur appareil.
Lors de leur découverte, les chercheurs de la société ont divulgué leurs découvertes de manière responsable à Facebook et au géant des médias sociaux, puis ont décrit la vulnérabilité, suivie comme CVE-2020-1895, comme un débordement d’entier menant au débordement de la mémoire tampon. Facebook a ensuite publié un correctif pour corriger la vulnérabilité tandis que Check Point a attendu six mois pour publier un article de blog sur sa découverte.
Chef de la recherche cybernétique à Check Point, Yaniv Balmas a fourni des informations supplémentaires sur les dangers potentiels de l’utilisation de code tiers, en disant:
«Cette recherche a deux points à retenir. Premièrement, les bibliothèques de code tierces peuvent constituer une menace sérieuse. Nous exhortons vivement les développeurs d’applications logicielles à vérifier les bibliothèques de code tierces qu’ils utilisent pour construire leurs infrastructures d’application et à s’assurer que leur intégration est effectuée correctement. Le code tiers est utilisé dans pratiquement toutes les applications, et il est très facile de passer à côté des menaces sérieuses qui y sont intégrées. Aujourd’hui, c’est Instagram, demain – qui sait? »
Via SecurityInformed.com
