image

Instagram-app kwetsbaar door JPEG-decoder Mozjpeg

vrijdag 25 september 2020, 09:58 door Redactie, 3 reacties

Security-experts van Facebook en Check Point hebben een kwetsbaarheid in Instagram verholpen die hackers in staat stelden om met een gemanipuleerde afbeelding een smartphone af te luisteren of zelfs geheel over te nemen.

De kwetsbaarheid (CVE-2020-1895) zat in de open-source JPEG-decoder Mozjpeg. Mozjpeg wordt door de Instagram-app gebruikt om foto's naar Instagram te uploaden. De kwetsbaarheid is al zes maanden geleden gepatcht, maar nu pas naar buiten gebracht in de hoop dat de meeste gebruikers hun app inmiddels hebben geüpdatet, schrijft ComputerWeekly .

Indien een Instagram-gebruiker een kwaadaardige afbeelding had opgeslagen die via e-mail, WhatsApp of sms was verzonden en vervolgens de Instagram-app had geopend, zou de aanvaller volledige toegang krijgen tot de berichten en afbeeldingen van het slachtoffer. Hierdoor kon de aanvaller afbeeldingen op Instagram plaatsen of verwijderen. Ook kon de aanvaller toegang krijgen tot andere functies van de telefoon waaronder locatiegegevens, telefooncontacten en opgeslagen media.

Volgens Yaniv Balmas, hoofd cyberresearch bij Check Point, kleeft er een groot risico aan het gebruik van programmacode van derden, zoals Mozjpeg, zonder de code vooraf grondig te controleren.

Een woordvoerder van Facebook verklaart dat het probleem met de code is opgelost en dat er geen bewijs is dat er misbruik van is gemaakt.

Reacties (3)
25-09-2020, 11:18 door Anoniem
Altijd handig als op de pagina die ervoor bestemd is https://github.com/mozilla/mozjpeg/security/advisories geen security-advisories staan en je dus niet weet dat er iets aan de hand is met de software die je gebruikt.
25-09-2020, 14:33 door Anoniem
Heb een vraag hierover. Kan zo'n gemanipuleerde afbeelding geblokkeerd worden met ublock origin of hosts file?
26-09-2020, 12:06 door Anoniem
Volgens Yaniv Balmas, hoofd cyberresearch bij Check Point, kleeft er een groot risico aan het gebruik van programmacode van derden, zoals Mozjpeg, zonder de code vooraf grondig te controleren.
M.a.w. iedereen moet voortaan weer al zijn programma's vanaf de grond opbouwen? Is het niet ook een groot risico om gebruik te maken van een compiler van derden? Beter om alles direct in hex in machinetaal in te kloppen, is niet?

Man man man... voor het worden van hoofd cyberresearch of onderzoeker van veiligheid bij gemeenten hoef je tegenwoordig niet echt meer wat te kunnen, blijkt wel. Gewoon een paar open deuren intrappen en je bent weer in beeld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.