Instagram не безопасен
Мы уже говорили с тобой о том, что, на самом деле, приложения для смартфонов частенько запрашивают гораздо больше полномочий, чем им требуется для корректной работы. И вот еще один пример.
Много лет назад, когда ультрасовременным мессенджером была ICQ, самые остроумные пользователи подкидывали друзьям сообщения, от которых их клиент просто выключался. Технологии, конечно, идут вперёд, но идея “можем повторить” никуда не девается.
Недавно специалисты из CheckPoint рассказали о найденной уязвимости в Instagram, которая позволяла получить доступ к конфиденциальной информации жертвы.
Всё, что нужно было сделать злоумышленнику — это прислать по почте или в мессенджер специальную картинку на атакуемый смартфон. Если жертва сохраняла эту картинку у себя (для этого её достаточно просто открыть посмотреть), то при следующем запуске Instagram, имеющий доступ ко всем изображениям, обращался к этой фотографии и ломался. Но не как его постоянные инфлюенсеры, а по-настоящему. Он предоставлял злоумышленнику доступ не только к собственным данным, но и ко всему, к чему имел доступ сам — к камере, геолокации, контактам и т.д.
Технически уязвимость Instagram крылась в модуле, отвечающем за сжатие изображений формата jpeg. Определённым образом сформированный файл этого формата при обработке становился причиной целочисленного переполнения стека памяти. Такая ситуация, в свою очередь, позволяла злоумышленнику получить неавторизованный доступ к данным или выполнение стороннего кода.
К счастью, эта уязвимость на всех типах устройств была устранена ещё в начале года. Но сама проблема компрометации приложений с избыточными правами никуда не девается.
Я уже говорил и продолжаю говорить, что когда какой-нибудь “Фонарик” запрашивает доступ к местоположению устройства — это, по меньшей мере, ненормально и само по себе является поводом задуматься, а так уж ли нужен тебе такой инстаг… фонарь?