I ricercatori di Check Point hanno scoperto una grave vulnerabilità nell’app Instagram che avrebbe potuto permette a gruppi di criminali informatici e singoli utenti malintenzionati di bloccare l’accesso all’app, assumere pieno controllo dell’altrui account o spiare i dispositivi mobili appartenenti ad altri soggetti.
Per innescare il bug, l’aggressore avrebbe dovuto soltanto limitarsi a inviare alla vittima un’immagine creata ad arte usando una piattaforma di messaggistica istantanea oppure via email.
Sia sui dispositivi Android che iOS, l’app Instagram soffriva di una pericolosa vulnerabilità che si rendeva manifesta al momento dell’apertura di qualunque immagine.
La lacuna di sicurezza, contraddistinta dall’identificativo CVE-2020-1895, portava alla generazione di un errore di heap buffer overflow quando l’app Instagram si aspettava di dover gestire immagine di grandi dimensioni ritenute invece più compatte.
L’errata interpretazione delle immagini veicolate attraverso strumenti di comunicazione esterni a Instagram avrebbe potuto portare all’esecuzione di codice dannoso sui dispositivi degli utenti di fatto consegnando il controllo degli smartphone agli aggressori remoti.
Nello specifico, tutto sembra essere legato all’utilizzo di una costante – inserita nel codice sorgente dell’app Instagram – che è stata aggiunta dagli sviluppatori per elaborare le immagini con l’encoder JPEG “Mozjpeg” realizzato da Mozilla e integrato nell’applicazione.
A Instagram viene assegnato un ampio ventaglio di permessi: l’accesso ai contatti, alla memoria, alla posizione del dispositivo, alla telecamera e al microfono.
Oltre che limitarsi a controllare il profilo Instagram del proprietario del dispositivo, un aggressore avrebbe potuto avviare una approfondita attività di monitoraggio e spionaggio senza destare alcun sospetto.
Quando Facebook ha informato Check Point di aver risolto il problema di sicurezza, è stato fatto presente che – stando ai rilevamenti – nessuno aveva mai prima utilizzato il bug adesso definitivamente corretto.
Gli sviluppatori di Facebook hanno confermato di aver risolto il bug con il rilascio della versione 128.0.0.26.128 dell’app Instagram. Da parte loro, quindi, i tecnici di Check Point hanno reso pubblici i dettagli tecnici circa la loro scoperta.