Instagram-аккаунты пользователей можно было взломать с помощью картинки

Instagram-аккаунты пользователей можно было взломать с помощью картинки

Опасный баг в Android- и iOS-версии приложения Instagram открывает потенциальному злоумышленнику возможность для захвата аккаунта жертвы и шпионажа за пользователем мобильного устройства. Эксплуатация требует отправки специально созданного изображения через мессенджер или электронную почту.

Проблема заключается в способе обработки изображений. Как только Instagram получает доступ к определённой картинке и предлагает возможность запостить её, появляется вектор атаки.

Технически уязвимость, получившая идентификатор CVE-2020-1895, представляет собой банальное переполнение буфера. Баг проявляется в момент, когда Instagram пытается запостить изображение больших размеров, при этом считая, что оно маленькое.

Разработчики в штате Facebook уже устранили брешь, а на официальном ресурсе появилось соответствующее уведомление о проблеме безопасности. Подробности бага описал эксперт компании Check Point Гал Элбаз.

По словам специалиста, имплементация стороннего кода в Instagram приводит к серьёзным рискам — в частности, создаёт возможность для удалённого выполнения кода.

 

В данном случае роковую роль сыграло жёстко закодированное значение константы, которое разработчики Instagram добавили при интеграции с Mozjpeg. Элбаз описал приблизительный алгоритм атаки с эксплуатацией описанной уязвимости:

  1. Злоумышленник отправляет жертве вредоносное изображение (через WhatsApp, СМС-сообщение, электронную почту или любой другой сервис обмена текстом).
  2. Если пользователь сохраняет картинку, а впоследствии запускает Instagram, начинается эксплуатация уязвимости, позволяющая атакующему получить полный доступ к устройству жертвы.
  3. Также баг позволяет постоянно выводить приложение из строя.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

InfoWatch разработала сервис безопасных онлайн-расчетов для банков

ГК InfoWatch разработала сервис «Онлайн-аккредитив» для проведения безопасных расчетов между поставщиками и покупателями товаров и услуг в Сети. Сервис для банков и В2В-сектора создан для защиты интересов всех сторон, принимающих участие в процессе купли-продажи в условиях недостаточной информированности друг о друге.

«Онлайн-аккредитив» обеспечивает гарантированный возврат средств покупателю, если продавец не оказывает услугу или не поставляет заказанный товар, а также, если товар или услуга поставляются с нарушениями условий договора - оказываются некачественными или поставленными не в том объеме. В свою очередь, поставщик товаров или услуг становится защищенным от претензий недобросовестных покупателей при помощи прозрачной процедуры арбитража, которую при возникновении спорных случаев ведут специалисты компании-оператора сервиса (любого российского банка, использующего «Онлайн-аккредитив»).

«Как правило, продавец и покупатель товаров и услуг при первом контакте никак не защищены от обмана, они не знают друг друга, у них нет гарантий того, что крупная сделка пройдет честно и гладко. Наш сервис – это аналог банковской ячейки для незнакомых друг с другом сторон. Благодаря его работе обе стороны могут быть полностью уверены в конечном результате – покупатель в получении товара, а продавец – в поступлении оплаты за заказ – полностью и в срок», — объясняет Наталья Касперская, президент ГК InfoWatch.

Сервис работает так: покупатель перечисляет средства для оплаты товара или услуги на номинальный счет, созданный компанией-оператором сервиса, где перечисленные средства резервируются. Затем продавец отгружает товар или оказывает услугу. После того, как покупатель подтвердил получение товара или услуги, продавец может получить свои деньги.

Новая разработка ГК InfoWatch позволяет российским банкам расширить продуктовую линейку сервисом для осуществления безопасных сделок в режиме онлайн, резко ускорить проведение сделок, сократить затраты на проведение документарных операций и исключить ошибки, вызванные человеческим фактором. В свою очередь, платформы для электронной коммерции получают эффективный и защищенный способ организации онлайн-расчетов при выполнении заказов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru