Un error importante en la aplicación de Instagram podría haber dado a los piratas informáticos acceso remoto a su teléfono

hackeo de instagram

¿Alguna vez se preguntó cómo los piratas informáticos pueden piratear su teléfono inteligente de forma remota?

En un informe compartido con The Hacker News hoy, los investigadores de Check Point revelaron detalles sobre una vulnerabilidad crítica en la aplicación Android de Instagram que podría haber permitido a los atacantes remotos tomar el control de un dispositivo objetivo simplemente enviando a las víctimas una imagen especialmente diseñada.

Lo que es más preocupante es que la falla no solo permite a los atacantes realizar acciones en nombre del usuario dentro de la aplicación de Instagram, incluido espiar los mensajes privados de la víctima e incluso eliminar o publicar fotos de sus cuentas, sino también ejecutar código arbitrario en el dispositivo.

De acuerdo con un aviso publicado por Facebook, el problema de seguridad de desbordamiento del montón (rastreado como CVE-2020-1895puntuación CVSS: 7,8) afecta a todas las versiones de la aplicación de Instagram anteriores a la 128.0.0.26.128, que se lanzó el 10 de febrero a principios de este año.

«Esta [flaw] convierte el dispositivo en una herramienta para espiar a usuarios objetivo sin su conocimiento, además de permitir la manipulación maliciosa de su perfil de Instagram”, dijo Check Point Research en un análisis publicado hoy.

«En cualquier caso, el ataque podría conducir a una invasión masiva de la privacidad de los usuarios y podría afectar la reputación, o generar riesgos de seguridad que son aún más graves».

Después de que se informaron los hallazgos a Facebook, la compañía de redes sociales abordó el problema con una actualización de parche lanzada hace seis meses. La divulgación pública se retrasó todo este tiempo para permitir que la mayoría de los usuarios de Instagram actualicen la aplicación, mitigando así el riesgo que puede presentar esta vulnerabilidad.

Aunque Facebook confirmó que no había señales de que este error se explotara a nivel mundial, el desarrollo es otro recordatorio de por qué es esencial mantener las aplicaciones actualizadas y tener en cuenta los permisos que se les otorgan.

Una vulnerabilidad de desbordamiento de montón

Según Check Point, la vulnerabilidad de corrupción de la memoria permite la ejecución remota de código que, dados los amplios permisos de Instagram para acceder a la cámara, los contactos, el GPS, la biblioteca de fotos y el micrófono de un usuario, podría aprovecharse para realizar cualquier acción maliciosa en el dispositivo infectado.

En cuanto a la falla en sí, se deriva de la forma en que Instagram integró MozJPEG, una biblioteca codificadora JPEG de código abierto que tiene como objetivo reducir el ancho de banda y proporcionar una mejor compresión para las imágenes cargadas en el servicio, lo que resulta en un desbordamiento de enteros cuando la función vulnerable en cuestión ( «read_jpg_copy_loop») intenta analizar una imagen maliciosa con dimensiones especialmente diseñadas.

Al hacerlo, un adversario podría obtener control sobre el tamaño de la memoria asignada a la imagen, la longitud de los datos que se sobrescribirán y, por último, el contenido de la región de memoria desbordada, lo que a su vez le da al atacante la capacidad de corromper datos específicos. ubicaciones en un montón y desviar la ejecución del código.

La consecuencia de tal vulnerabilidad es que todo lo que un mal actor debe hacer es enviar una imagen JPEG corrupta a una víctima por correo electrónico o WhatsApp. Una vez que el destinatario guarda la imagen en el dispositivo e inicia Instagram, la explotación se lleva a cabo automáticamente, otorgando al atacante el control total sobre la aplicación.

Peor aún, el exploit se puede usar para bloquear la aplicación de Instagram de un usuario y hacerla inaccesible a menos que se elimine y se vuelva a instalar en el dispositivo.

En todo caso, la vulnerabilidad es indicativa de cómo la incorporación de bibliotecas de terceros en aplicaciones y servicios puede ser un eslabón débil para la seguridad si la integración no se realiza correctamente.

«Fuzzear el código expuesto reveló algunas vulnerabilidades nuevas que ya se han solucionado», dijo Gal Elbaz de Check Point. «Es probable que, con el esfuerzo suficiente, una de estas vulnerabilidades pueda explotarse para RCE en un escenario de ataque sin clic.

«Desafortunadamente, también es probable que queden otros errores o que se introduzcan en el futuro. Como tal, es absolutamente necesario realizar pruebas continuas de este y otros códigos de análisis de formatos de medios similares, tanto en las bibliotecas del sistema operativo como en las bibliotecas de terceros. «

Yaniv Balmas, jefe de investigación cibernética de Check Point, brindó los siguientes consejos de seguridad para usuarios de teléfonos inteligentes:

  1. ¡Actualizar! ¡Actualizar! ¡Actualizar! Asegúrese de actualizar regularmente su aplicación móvil y sus sistemas operativos móviles. Cada semana se envían docenas de parches de seguridad críticos en estas actualizaciones, y cada uno puede tener un impacto grave en su privacidad.
  2. Supervisar los permisos. Presta más atención a las aplicaciones que piden permiso. Es muy fácil para los desarrolladores de aplicaciones pedirles a los usuarios permisos excesivos, y también es muy fácil para los usuarios hacer clic en ‘Permitir’ sin pensarlo dos veces.
  3. Piense dos veces antes de las aprobaciones. Tómese unos segundos para pensar antes de aprobar cualquier cosa. Pregunte: «¿Realmente quiero darle a esta aplicación este tipo de acceso? ¿Realmente lo necesito?» si la respuesta es no, NO APRUEBA.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática