Un bug Instagram aurait pu donner le contrôle total de votre compte aux hackers

[ad_1]

Spécialisée en cybersécurité, la société Check Point a découvert une faille de sécurité majeure dans l’application Instagram. Elle a informé Facebook, qui a été en mesure de corriger la vulnérabilité avant de publier un document où il évoque cette dernière plus en détail.

Un contrôle absolu de votre compte Instagram (… et pas que)

Jugée « critique », la faille en question concerne « le traitement des images d’Instagram ». Plus concrètement, elle permettait à des personnes mal intentionnées d’utiliser une image préalablement trafiquée afin d’entraîner un bug dans l’application.

Grâce à celui-ci, il était possible d’exécuter plusieurs actions malveillantes. Ces dernières allaient du vol de compte au lancement du micro ou de la caméra, rien de très rassurant donc. Instagram demande de nombreux accès à l’utilisateur afin de pouvoir être utilisé pleinement, que ce soit celui du micro, de la caméra, mais aussi des photos, des contacts ou encore des données de géolocalisation. Autant de données (très) personnelles qui étaient vulnérables à cause de cette faille, en plus du vol de comptes qui donne un accès direct aux fichiers multimédias et échanges privés des utilisateurs.

Les images en question pouvaient être envoyées via plusieurs canaux, que ce soit les SMS, les emails ou les messageries comme WhatsApp puis il suffisait qu’elles soient enregistrées sur le téléphone de la victime.

Pour que la faille puisse être exploitée, les pirates informatiques avaient simplement à modifier une image afin qu’Instagram juge que son format était trop petit —alors qu’il était de grande taille. S’en suivait un bug du module de compression, une faille parfaite pour des personnes mal intentionnées souhaitant exécuter des actions à distance par le biais de l’application de photo. N’importe quelle image, au nombre d’une seulement, était suffisante pour entraîner le bug nécessaire à l’exploitation de la vulnérabilité.

Facebook a rapporté cette faille sous le nom CVE-2020-1895, un avis qui évoque le bug du module de compression mis en avant par les chercheurs en sécurité de Check Point. Celui-ci concernait spécifiquement Mozjpeg, un décodeur JPEG open source imaginé par Mozilla. Celui-ci a été mal configuré par les développeurs de Facebook lors de la mise en service, ce qui a permis la vulnérabilité.

[ad_2]

Source link

Facebooktwitterredditpinterestlinkedinmail

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.