Эксперты компании Check Point обнаружили критическую уязвимость в приложении Instagram, через которую злоумышленники могли получить доступ к учетным данным пользователя, его телефонным контактам и геопозиции.
Компания Facebook, владеющая Instagram, уже устранила ошибку.
Злоумышленники отправляли жертве вредоносный файл с изображением на электронную почту, в WhatsApp или в другом приложении.
«Эта уязвимость позволяла мошенникам завладеть аккаунтом жертвы в Instagram, отправив ей вредоносный файл с изображением. Если пользователь сохранял изображение и после этого открывал Instagram, хакер инициировал атаку и в результате мог управлять аккаунтом жертвы без ее ведома, получал доступ к контактам телефона, камере и данным о местоположении пользователя», — пишут они.
Уязвимость находилась в Mozjpeg — декодере JPEG с открытым исходным кодом, который Instagram использует для загрузки изображений в приложение. Эксперты Check Point оперативно поделились результатами исследования с компанией Facebook — владельцем Instagram.
«В Facebook признали проблему, описав уязвимость как «переполнение буфера». Компания уже выпустила патч для устранения уязвимости в новых версиях приложения Instagram на всех платформах», — отмечается в сообщении.
Эксперты порекомендовали пользователям внимательно относиться к разрешению доступа, которое они дают приложениям.
«Я рекомендую подумать некоторое время, прежде чем давать согласие приложению на доступ к тем или иным функциям или данным на устройстве, поскольку так вы можете обезопасить себя от потенциальной атаки», — сообщил руководитель отдела киберисследований Check Point Янив Балмас.
Эксперты также рекомендуют пользователям регулярно обновлять мобильные приложения и операционные системы, а также обращать внимание на приложения, запрашивающие разрешения.