Специалисты компании Check Point рассказали о найденной в начале этого года серьезной уязвимости в мобильном приложении Instagram для iOS и Android. Злоумышленники могли с помощью уязвимости CVE-2020-1895 получить практически полный доступ к смартфону жертвы. Все что им было нужно для этого — отправить пользователю картинку с вредоносным кодом и специально созданными размерами. Далее штатный алгоритм обработки изображений приложения Instagram использовался для успешного проведения атаки, основанной на переполнении кучи/хипа (heap buffer overflow).
Уязвимость CVE-2020-1895 была обнаружена Check Point в начале этого года. Ей были подвержены версии приложения Instagram вплоть до 128.0.0.26.128.
Расследование Check Point с помощью фаззинга показало, что разработчики Instagram неправильно использовали сторонний инструмент MozJPEG (открытый декодер JPEG от Mozilla).
Оказалось, что в приложении Instagram код обработчика этого инструмента имел свои ограничения. В нем можно было вызвать целочисленное переполнение, если приложение пытается обработать и открыть изображение большего размера, считая его меньшим — ранее полученную и сохраненную пользователем на смартфон вредоносную картинку со специально заданными размерами.
Примечательно, что у злоумышленника было два варианта дальнейшей атаки после запуска вредоносного кода после использования уязвимости:
В феврале 2020 года специалисты Facebook выпустили новые версии мобильных приложений Instagram с патчем против уязвимости CVE-2020-1895.
В середине сентября 2020 года Microsoft выпустила новый автоматизированный инструмент для разработчиков — Project OneFuzz. Это фаззинг решение в настоящее время уже заменило сервис Microsoft Security Risk Detection Service. Исходные коды инструмента Project OneFuzz уже доступны на GitHub под лицензией MIT, включая документацию и примеры.
Новости от Global Consulting
Уязвимость CVE-2020-1895 была обнаружена Check Point в начале этого года. Ей были подвержены версии приложения Instagram вплоть до 128.0.0.26.128.
Расследование Check Point с помощью фаззинга показало, что разработчики Instagram неправильно использовали сторонний инструмент MozJPEG (открытый декодер JPEG от Mozilla).
Оказалось, что в приложении Instagram код обработчика этого инструмента имел свои ограничения. В нем можно было вызвать целочисленное переполнение, если приложение пытается обработать и открыть изображение большего размера, считая его меньшим — ранее полученную и сохраненную пользователем на смартфон вредоносную картинку со специально заданными размерами.
Примечательно, что у злоумышленника было два варианта дальнейшей атаки после запуска вредоносного кода после использования уязвимости:
- получение информации со смартфона, включая просмотр и копирование контактов и сообщений, данных о местоположении пользователя и доступ к управлению камерой — все элементы и сервисы смартфона, к которым имело доступ приложение Instagram;
- вызов непрерывного сбоя приложения Instagram при запуске, после удаления и переустановки приложения через некоторое время сбой можно вызвать снова.
В феврале 2020 года специалисты Facebook выпустили новые версии мобильных приложений Instagram с патчем против уязвимости CVE-2020-1895.
В середине сентября 2020 года Microsoft выпустила новый автоматизированный инструмент для разработчиков — Project OneFuzz. Это фаззинг решение в настоящее время уже заменило сервис Microsoft Security Risk Detection Service. Исходные коды инструмента Project OneFuzz уже доступны на GitHub под лицензией MIT, включая документацию и примеры.
Новости от Global Consulting
