ERROR en INSTAGRAM: Los HACKERS pueden ADUEÑARSE de TU CUENTA


La vulnerabilidad ahora parcheada destaca los peligros de usar código de terceros

Después de auditar la seguridad de las aplicaciones de Instagram para Android e iOS, los investigadores de seguridad de Check Point descubrieron una vulnerabilidad crítica que podría usarse para realizar la ejecución remota de código en el teléfono inteligente de una víctima.

La empresa de seguridad comenzó su investigación sobre la popular aplicación de redes sociales con el objetivo de examinar los proyectos de terceros que utiliza. Muchos desarrolladores de software de todos los tamaños utilizan proyectos de código abierto en su software para ahorrar tiempo y dinero. Durante su auditoría de seguridad de las aplicaciones de Instagram, Check Point encontró una vulnerabilidad en la forma en que el servicio utiliza el proyecto de código abierto Mozjpeg como su decodificador de formato JPEG para cargar imágenes.

La vulnerabilidad se descubrió mediante un fuzzing del proyecto de código abierto. Para aquellos que no lo saben, el fuzzing implica colocar o inyectar deliberadamente datos confusos en una aplicación o programa específico. Si el software no maneja adecuadamente los datos inesperados, los desarrolladores pueden identificar las posibles debilidades de seguridad y abordarlas antes de que los usuarios corran peligro.

Para aprovechar la vulnerabilidad en las aplicaciones móviles de Instagram, un atacante solo necesitaría enviar a una víctima potencial una única imagen maliciosa por correo electrónico o redes sociales. Si esta imagen se guarda en el dispositivo de un usuario, desencadenaría la explotación de la vulnerabilidad una vez que la víctima abre la aplicación, lo que le daría al atacante acceso completo a su dispositivo para la toma remota.

Vulnerabilidad de ejecución remota de código

La vulnerabilidad descubierta por los investigadores de Check Point le da al atacante un control total sobre la aplicación de Instagram de un usuario, lo que le permitiría leer mensajes directos, eliminar o publicar fotos o cambiar los detalles del perfil de la cuenta de un usuario. Sin embargo, dado que Instagram tiene amplios permisos en el dispositivo de un usuario, la vulnerabilidad podría usarse para acceder a su contenido, datos de ubicación, cámara y cualquier archivo almacenado en su dispositivo.

Tras su descubrimiento, los investigadores de la empresa revelaron responsablemente sus hallazgos a Facebook y el gigante de las redes sociales luego describió la vulnerabilidad, rastreada como CVE-2020-1895 , como un desbordamiento de enteros que conduce al desbordamiento del búfer de pila. Luego, Facebook emitió un parche para abordar la vulnerabilidad mientras Check Point esperaba seis meses para publicar una publicación de blog sobre su descubrimiento.

El jefe de investigación cibernética de Check Point, Yaniv Balmas, brindó más información sobre los peligros potenciales de usar código de terceros, diciendo:

“Esta investigación tiene dos conclusiones principales. Primero, las bibliotecas de códigos de terceros pueden ser una seria amenaza. Instamos encarecidamente a los desarrolladores de aplicaciones de software a que examinen las bibliotecas de códigos de terceros que utilizan para construir sus infraestructuras de aplicaciones y se aseguren de que su integración se realiza correctamente. El código de terceros se utiliza en prácticamente todas las aplicaciones que existen, y es muy fácil perderse las amenazas graves integradas en él. Hoy es Instagram, mañana, ¿quién sabe? ”

Deja tu Comentario

SEGUINOS en FACEBOOK

Loading...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *