Facebook ha parcheado una vulnerabilidad crítica en Instagram. Podría llevar a la ejecución remota de código malicioso que captura las cámaras, micrófonos e incluso todo el teléfono, informa ZDNet.

Check Point informó de la vulnerabilidad de seguridad. La vulnerabilidad se describe como una “vulnerabilidad crítica en el procesamiento de imágenes de Instagram”.

La vulnerabilidad se identificó como CVE-2020-1895 con una calificación CVSS de 7.8. El aviso de seguridad de Facebook establece que esta vulnerabilidad está relacionada con un desbordamiento de pila.

“Podría haberse producido un gran desbordamiento de pila en Instagram para Android al intentar cargar una imagen con dimensiones especialmente diseñadas. Esto funciona en versiones hasta 128.0.0.26.128 ”, dice el mensaje .

En una declaración, los investigadores de Check Point de ciberseguridad dijeron que enviar una imagen creada con fines malintencionados es suficiente. El ataque puede iniciarse después de enviar la imagen generada por correo, WhatsApp, SMS o cualquier otra plataforma de comunicación. La imagen tiene que ser guardada en el dispositivo.

Independientemente de si la imagen se guarda local o manualmente. El malware se ejecuta abriendo el Instagra.

Mozjpeg

El problema es cómo Instagram maneja las bibliotecas de terceros utilizadas para el procesamiento de imágenes. Específicamente, Check Point se centró en Mozjpeg. Mozjpeg es un decodificador JPEG de opensource de Mozilla. Instagram lo usa indebidamente para manejar la carga de imágenes.

Descubrieron que la función de manejo del tamaño de la imagen al analizar imágenes JPEG tenía un error. Como resultado causaba problemas de asignación de memoria durante el proceso de descompresión.

El archivo de imagen generado puede contener una carga útil capaz de aprovechar la extensa lista de permisos de Instagram. De esta forma proporciona acceso a cualquier recurso en el teléfono que esté pre-permitido para Instagram.

Esto puede incluir acceso a los contactos del dispositivo, ubicación/GPS, cámara y archivos guardados localmente. En la propia aplicación de Instagram, la vulnerabilidad RCE también se puede utilizar para interceptar mensajes directos y leerlos; eliminar o publicar fotos sin permiso o cambiar la configuración de su cuenta.

“En su nivel más básico, un exploit puede usarse para bloquear la aplicación de Instagram de un usuario, evitando que acceda a la aplicación hasta que la elimine y reinstale de su dispositivo, causando inconvenientes y una posible pérdida de datos”, agregó Check Point.

La descripción de la vulnerabilidad se publicó seis meses después de la divulgación privada. De esta forma los usuarios tienen tiempo para actualizar actualizar la seguridad y reducir el riesgo de explotación de la vulnerabilidad.

“Solucionamos el problema y no encontramos evidencia de su uso por parte de malhechores”, dijo Facebook. “Estamos agradecidos con Check Point por ayudar a mantener la seguridad de Instagram”.