Posté le septembre 25, 2020 à 15:53
LA VULNÉRABILITÉ D’INSTAGRAM PERMET AUX HACKERS DE TRANSFORMER LES TÉLÉPHONES EN OUTILS D’ESPIONNAGE
Les chercheurs en sécurité de Checkpoint ont découvert une nouvelle vulnérabilité dans l’application Instagram qui permet aux hackers de transformer les appareils mobiles et les smartphones en outils d’espionnage en piratant leur application Instagram.
Il n’est pas certain qu’un hacker ait réussi à exploiter la vulnérabilité et à infiltrer le smartphone d’un utilisateur, mais Facebook a déjà fourni un patch pour corriger le bug.
L’application de partage de vidéos Instagram compte plus d’un milliard d’utilisateurs dans le monde entier. Récemment, il a été signalé que Facebook utilise probablement l’application Instagram pour espionner les utilisateurs.
La faille critique permet l’exécution de code à distance
Selon les chercheurs de Checkpoint, la faille critique dans l’application peut entraîner l’exécution de code à distance et le détournement de microphones, de caméras et de smartphones.
Le problème le plus critique n’est pas seulement la capacité des hackers à utiliser le téléphone de l’utilisateur comme un outil pour mener des activités de piratage, mais aussi la capacité à exécuter des codes arbitraires sur l’appareil.
Selon un récent communiqué de Facebook, la vulnérabilité connue sous le nom de CVE-2020-1895 affecte toutes les versions de l’application Instagram avant la publication d’un correctif en début d’année.
Le hacker pourrait envoyer à la victime un fichier image malveillant, qui sera suffisant pour prendre le contrôle de son compte Instagram en raison de la vulnérabilité de l’application. Lorsque la victime enregistre l’image malveillante et l’ouvre dans l’application, le hacker se verra accorder un accès complet aux images et aux messages Instagram de la victime. L’exploit donnera également au hacker l’accès à d’autres domaines, y compris les données de localisation, l’appareil photo et les contacts du téléphone.
Les hackers peuvent réussir cette exploitation grâce aux autorisations que l’application peut demander à l’utilisateur.
Par exemple, une application cartographique n’a pas la permission d’accéder à l’emplacement de l’utilisateur, bien qu’elle doive avoir accès à son microphone. De même, une application de rencontre n’a pas la permission d’accéder à une autre zone que celle de l’appareil photo de l’utilisateur.
Cependant, une application telle qu’Instagram dispose d’une liste de permissions complète, ce qui permet aux hackers de prendre plus facilement le contrôle de l’appareil.
« Cette vulnérabilité transforme le dispositif en un outil d’espionnage des utilisateurs ciblés à leur insu », a déclaré un chercheur de Checkpoint dans une analyse publiée récemment.
Dans ce cas, la vulnérabilité pourrait entraîner une atteinte substantielle à la vie privée de la cible, et pourrait conduire à des problèmes de sécurité plus graves à l’avenir.
La vulnérabilité a été corrigée il y a six mois
Lorsque Facebook a reçu des informations sur la vulnérabilité, il a résolu le problème en corrigeant la vulnérabilité il y a six mois. « Nous avons réglé le problème et nous n’avons vu aucune preuve d’abus », a révélé Facebook.
Cependant, la divulgation au public a été retardée pour s’assurer que la plupart des utilisateurs d’Instagram mettent à jour l’application afin de réduire le risque que la vulnérabilité puisse causer.
Bien que le géant des médias sociaux ait confirmé qu’il n’y a probablement aucun signe que la vulnérabilité a été exploitée à l’échelle mondiale, cela reste un rappel pour les utilisateurs de toujours s’assurer que leurs applications sont mises à jour. Ils doivent également faire attention aux autorisations accordées par les applications.
La faille provient de l’intégration de MozJPEG, un encodeur JPEG qui permet une meilleure compression des images et réduit la bande passante. Cela conduit à un dépassement de l’entier lorsque le protocole vulnérable tente d’analyser une image malveillante avec des dimensions correctement conçues.
Problèmes liés aux relations d’Instagram avec les bibliothèques tierces
Dans un billet de blog publié hier, Checkpoint a noté que la diffusion d’une seule image malveillante suffit pour prendre le contrôle total de l’Instagram de l’utilisateur. L’attaque peut être conçue lorsque l’image est envoyée par SMS, Whatsapp ou e-mail.
Quel que soit l’endroit où l’image est enregistrée, le code malveillant peut s’exécuter si l’utilisateur ouvre le compte Instagram.
Le principal problème est la façon dont Instagram traite les bibliothèques tierces utilisées pour le traitement des images. Le protocole MoziPeg a été développé par Mozilla et n’a pas été utilisé correctement par Instagram lorsqu’il s’agit de protocoles d’images.
Un fichier image spécifiquement conçu peut contenir une charge utile capable d’exploiter les autorisations étendues de l’application Instagram sur les appareils mobiles et de donner accès à tout réseau préautorisé par Instagram.
Fondamentalement, le hacker peut exploiter la vulnérabilité pour faire planter le compte Instagram de la victime et lui interdire tout accès à l’application jusqu’à ce qu’elle soit supprimée et réinstallée sur l’appareil.
