Дослідники з компанії Check Point розкрили подробиці про критичну уразливість в додатку Instagram для Android, експлуатація якої дозволяла віддаленим зловмисникам перехопити контроль над цільовим пристроєм шляхом відправки спеціально створеного зображення.
Уразливість не тільки дозволяла злочинцям виконувати дії від імені користувача в додатку Instagram, включаючи доступ до особистих повідомленнями жертви, видалення або публікацію фотографій з облікових записів, але також надавала можливість виконувати довільний код на пристрої.
Уразливість переповнення буфера (CVE-2020-1895) отримала оцінку в 7,8 бала за шкалою CVSS і зачіпає всі версії додатка Instagram до 128.0.0.26.128.
“Уразливість перетворює пристрій в інструмент для стеження за користувачами без їх відома, а також дозволяє зловмисно маніпулювати їх профілем в Instagram. У будь-якому випадку атака може привести до серйозного вторгнення в приватне життя користувачів і завдати шкоди їх репутації”, – повідомили експерти.
Дослідники безпеки повідомили про свої знахідки Facebook, і компанія випустила виправлення для цієї проблеми шість місяців тому. Публічне розкриття інформації відкладалося, дозволяючи більшості користувачів Instagram оновити додаток.
Для експлуатації уразливості хакеру досить було відправити шкідливе зображення у форматі JPEG жертві електронною поштою або в WhatsApp. Як тільки одержувач зберігає зображення на пристрої і запускає Instagram, експлуатація відбувається автоматично, надаючи зловмисникові повний контроль над додатком.
Уразливість також можна використовувати для виклику збою в роботі програми Instagram, зробивши його недоступним, поки жертва не видалить програму і повторно не встановить її.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як обмежити перегляд небажаного контенту для дітей у TikTok? Поради для батьків
Як заблокувати небажаний контакт у Facebook? – ІНСТРУКЦІЯ
Як зупинити відстеження небажаними програмами Вашої точної геолокації? ІНСТРУКЦІЯ
Як скопіювати файли на USB-накопичувач на Chromebook? – ІНСТРУКЦІЯ
Нагадаємо, виявили нову шпигунську кампанію проти користувачів Android, в рамках якої зловмисники поширюють “Pro-версію” TikTok. Шкідливе ПЗ здатне захоплювати контроль над базовими функціями пристрою – робити фотографії, читати і відправляти SMS-повідомлення, здійснювати телефонні дзвінки і запускати додатки.
Також співробітники компанії Facebook вручну переглядають запити на розкриття інформації користувачів, не перевіряючи електронні адреси тих, хто запитує доступ до порталів, призначених виключно для співробітників правоохоронних органів. Іншими словами, будь-хто, у кого є електронна адреса, може отримати доступ до порталів, де правоохоронні органи запитують дані про користувачів Facebook і WhatsApp.
З’явилася офіційно ОС Android 11, яка розповсюджується серед компаній-виробників смартфонів та розробників Android. Остання версія мобільної ОС Google фокусується на трьох ключових темах – людське життя, елементи керування та конфіденційність – і робить їх більш помітними на Вашому смартфоні.
Фахівці Колумбійського університету провели дослідження на предмет безпеки Android-додатків, і 306 додатків містили серйозні криптографічні уразливості. Найпоширенішими проблемами опинилися використання небезпечного генератора псевдовипадкових чисел, непрацюючі хеш-функції, використання режиму роботи CBC, повторне використання паролів (в тому числі ненадійних) тощо.
Уразливість BLURtooth можуть використовувати хакери для перезапису ключів аутентифікації Bluetooth. За допомогою уразливості BLURtooth зловмисник може маніпулювати компонентом CTKD для перезапису ключів аутентифікації Bluetooth і таким чином отримати доступ до підтримуючих Bluetooth сервісів і додатків на тому ж пристрої.
