En un informe compartido con The Hacker News hoy, los investigadores de Check Point revelaron detalles sobre una vulnerabilidad crítica en la aplicación de Android de Instagram que podría haber permitido a atacantes remotos tomar el control de un dispositivo objetivo con solo enviar a las víctimas una imagen especialmente diseñada.
Lo que es más preocupante es que la falla no solo permite a los atacantes realizar acciones en nombre del usuario dentro de la aplicación de Instagram, incluido espiar los mensajes privados de la víctima e incluso eliminar o publicar fotos de sus cuentas, sino que también ejecuta código arbitrario en el dispositivo.
Según un aviso publicado por Facebook, el problema de seguridad de desbordamiento del montón ( registrado como CVE-2020-1895 , puntuación CVSS: 7.8) afecta a todas las versiones de la aplicación Instagram antes de 128.0.0.26.128, que se lanzó el 10 de febrero antes de este año.
«Esta [falla] convierte el dispositivo en una herramienta para espiar a los usuarios específicos sin su conocimiento, además de permitir la manipulación maliciosa de su perfil de Instagram», dijo Check Point Research en un análisis publicado hoy.
«En cualquier caso, el ataque podría conducir a una invasión masiva de la privacidad de los usuarios y podría afectar la reputación, o conducir a riesgos de seguridad que son aún más graves».
Después de que se informaron los hallazgos a Facebook, la compañía de redes sociales abordó el problema con una actualización de parche lanzada hace seis meses. La divulgación pública se retrasó todo este tiempo para permitir que la mayoría de los usuarios de Instagram actualizaran la aplicación, mitigando así el riesgo que esta vulnerabilidad puede presentar.
Aunque Facebook confirmó que no había señales de que este error fuera explotado a nivel mundial, el desarrollo es otro recordatorio de por qué es esencial mantener las aplicaciones actualizadas y tener en cuenta los permisos que se les otorgan.
Una vulnerabilidad de desbordamiento de montón
Según Check Point, la vulnerabilidad de corrupción de la memoria permite la ejecución remota de código que, dados los amplios permisos de Instagram para acceder a la cámara, los contactos, el GPS, la biblioteca de fotos y el micrófono de un usuario, podría aprovecharse para realizar cualquier acción maliciosa en el dispositivo infectado.
En cuanto a la falla en sí, se debe a la forma en que Instagram integró MozJPEG , una biblioteca de codificador JPEG de código abierto que tiene como objetivo reducir el ancho de banda y proporcionar una mejor compresión para las imágenes cargadas al servicio, lo que resulta en un desbordamiento de enteros cuando la función vulnerable en cuestión «read_jpg_copy_loop») intenta analizar una imagen maliciosa con dimensiones especialmente diseñadas.
Al hacerlo, un adversario podría obtener el control sobre el tamaño de la memoria asignada a la imagen, la longitud de los datos que se sobrescribirán y, por último, el contenido de la región de memoria desbordada, lo que a su vez le dará al atacante la capacidad de corromper específicos ubicaciones en un montón y desviar la ejecución del código.
La consecuencia de tal vulnerabilidad es que todo lo que un mal actor necesita hacer es enviar una imagen JPEG dañada a una víctima por correo electrónico o WhatsApp. Una vez que el destinatario guarda la imagen en el dispositivo e inicia Instagram, la explotación se lleva a cabo automáticamente, lo que le otorga al atacante el control total sobre la aplicación.
Peor aún, el exploit puede usarse para bloquear la aplicación de Instagram de un usuario y hacerla inaccesible a menos que se elimine y se reinstale en el dispositivo.
En todo caso, la vulnerabilidad es indicativa de cómo la incorporación de bibliotecas de terceros en aplicaciones y servicios puede ser un eslabón débil para la seguridad si la integración no se realiza correctamente.
«Al eliminar el código expuesto, se encontraron algunas vulnerabilidades nuevas que desde entonces se han solucionado», dijo Gal Elbaz de Check Point. «Es probable que, con un esfuerzo suficiente, una de estas vulnerabilidades pueda explotarse para RCE en un escenario de ataque sin hacer clic.
«Desafortunadamente, también es probable que otros errores permanezcan o se introduzcan en el futuro. Como tal, es absolutamente necesario realizar pruebas continuas de este y otros códigos de análisis de formatos de medios similares, tanto en bibliotecas del sistema operativo como en bibliotecas de terceros. «
Yaniv Balmas, jefe de investigación cibernética de Check Point, proporcionó los siguientes consejos de seguridad para los usuarios de teléfonos inteligentes:
- ¡Actualizar! ¡Actualizar! ¡Actualizar! Asegúrese de actualizar periódicamente su aplicación móvil y sus sistemas operativos móviles. Cada semana se envían docenas de parches de seguridad críticos en estas actualizaciones, y cada uno puede tener un impacto severo en su privacidad.
- Supervisar los permisos. Preste más atención a las aplicaciones que solicitan permiso. Es fácil para los desarrolladores de aplicaciones pedir a los usuarios permisos excesivos, y también es muy fácil para los usuarios hacer clic en ‘Permitir’ sin pensarlo dos veces.
- Piense dos veces en las aprobaciones. Tómate unos segundos para pensar antes de aprobar algo. Pregunte: «¿Realmente quiero darle a esta aplicación este tipo de acceso? ¿Realmente lo necesito?» si la respuesta es no, NO APROBAR.