Connect with us

Technologie

Un bug de code tiers a laissé les utilisateurs d’Instagram à risque de reprise de compte

Published

on


Les équipes de sécurité de Check Point et Facebook ont mis en évidence les dangers de s’appuyer sur le code tiers dans le processus de développement après la divulgation d’une vulnérabilité critique d’exécution de code distant (RCE) dans la plate-forme de partage de photos Instagram, qui aurait pu permettre aux acteurs malveillants de prendre le contrôle de l’Instagram de leur victime et de transformer leur appareil en un outil d’espionnage.

Assigné CVE-2020-1895, la vulnérabilité est décrite par Facebook comme un débordement entier conduisant à un débordement de mémoire tampon tas, et existait au sein de Mozjpeg, un décodeur JPEG open source, tiers utilisé dans Instagram pour télécharger des images sur l’application. Il a été corrigé il ya six mois, mais est seulement divulgué maintenant que suffisamment d’utilisateurs ont, nous l’espérons mis à jour leurs applications pour atténuer son impact.

Si un utilisateur d’Instagram avait enregistré une image malveillante envoyée par e-mail, WhatsApp ou SMS, puis ouvert l’application Instagram, l’exploitation aurait été déclenchée, donnant à l’attaquant un accès complet aux messages et images de la victime, lui permettant de publier ou de supprimer des images sur Instagram, et d’accéder à d’autres fonctionnalités du téléphone, y compris les données de localisation, les contacts téléphoniques et les médias stockés. Il aurait également pu être utilisé pour bloquer l’installation de la victime d’Instagram, leur refusant l’accès à elle et les forçant à supprimer et à réinstaller.

Yaniv Balmas de Check Point, responsable de la cyber-recherche, a mis en garde les développeurs contre les risques liés à l’utilisation de bibliothèques de code tierces comme Mozjpeg sans les vérifier minutieusement pour les bogues. Il a souligné que s’il est courant de gagner du temps dans le processus de développement en utilisant du code tiers pour gérer des tâches communes telles que le traitement de l’image et du son, ce code peut souvent contenir des bogues qui introduisent des vulnérabilités plus graves dans le produit final.

« Les bibliothèques de codes tierces peuvent constituer une menace sérieuse. Nous exhortons vivement les développeurs d’applications logicielles à vérifier les bibliothèques de code tierces qu’ils utilisent pour construire leurs infrastructures d’applications et s’assurer que leur intégration se fait correctement », a déclaré Balmas.

« e code tiers est utilisé dans pratiquement toutes les applications là-bas, et il est très facile de passer à côté des menaces graves intégrées dans elle. Aujourd’hui, c’est Instagram, demain – qui sait? »

Balmas a déclaré que les utilisateurs finaux pourraient également se protéger en prenant le temps de vérifier les autorisations d’une application comme Instagram a sur leur appareil. Bien que cela puisse sembler un fardeau, il est également l’un des mécanismes de défense les plus forts disponibles pour l’utilisateur moyen de l’application.

« Je conseillerais à tout le monde de prendre une minute et de réfléchir, est-ce que je veux vraiment donner à cette application l’accès à mon appareil photo, à mon microphone, et ainsi de suite? » a-t-il dit.

Balmas a également exhorté les gens à mettre à jour régulièrement leurs applications mobiles et leurs systèmes d’exploitation mobiles, soulignant que des correctifs de sécurité souvent critiques sont expédiés dans de telles mises à jour tout le temps.

Un porte-parole de Facebook a déclaré: « Nous avons résolu le problème et n’ont pas vu de preuves d’abus. Nous sommes reconnaissants de l’aide de Check Point pour assurer la sécurité d’Instagram.

Commentant la divulgation, Stuart Sharp, vice-président des services techniques de OneLogin, a déclaré : « Cette vulnérabilité montre à quel point nos comptes en ligne sont vulnérables. En permettant l’accès à distance à un compte Instagram, les attaquants pourraient l’utiliser à n’importe quel but qu’ils souhaitent, y compris le chantage ou le compromis de grands profils ou des comptes Instagram d’entreprise. Instagram doit travailler le plus rapidement possible pour corriger cette vulnérabilité. »

Il a soutenu que la divulgation d’une telle vulnérabilité devrait inciter tout fournisseur de services, comme Facebook, à « retourner à la table à dessin » et à repenser son approche de la sécurité pendant le processus de développement.

Javvad Malik, défenseur de la sensibilisation à la sécurité à KnowBe4 a décrit la vulnérabilité comme à la fois intéressante et inquiétante, compte tenu de la quantité d’informations sensibles que les comptes de médias sociaux peuvent contenir.

« Our cette attaque particulière, une image doit être envoyée à une cible et enregistrée sur son téléphone. Par conséquent, l’une des meilleures façons de se défendre contre cela serait que les gens se méfient des images entrantes, en particulier de la part de parties inconnues. Il est répandu que le téléphone de Jeff Bezos a également été compromise en raison de la réception d’une vidéo malware lacé via WhatsApp », at-il dit.

« Les utilisateurs peuvent également désactiver l’enregistrement automatique des images reçues via les médias sociaux tels que WhatsApp. Pour les influenceurs, ou les gestionnaires de marque qui utilisent Instagram ou d’autres médias sociaux à titre professionnel, il vaut la peine d’envisager d’utiliser des appareils distincts pour le travail et les utilisations personnelles des médias sociaux. Cela s’appliquerait non seulement aux influenceurs et aux célébrités eux-mêmes, mais aussi à tout le personnel qui les soutient et qui a accès à leurs comptes », a ajouté Malik.

CL’équipe de recherche de Heck Point a publié en ligne tous les détails techniques sur CVE-2020-1895. Ils ont noté que le bug Instagram était probablement « la pointe de l’iceberg » quand il s’agissait de Mozjpeg.

« Le projet basé sur Mozilla est encore largement utilisé dans de nombreux autres projets sur le web, en particulier Firefox, et il est également largement utilisé dans le cadre de différents projets open-source populaires tels que le projet sharp et libvips », ont déclaré les chercheurs de Check Point.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance