Security-experts van Facebook en Check Point hebben een kwetsbaarheid in Instagram verholpen die hackers in staat stelden om met een gemanipuleerde afbeelding een smartphone af te luisteren of zelfs geheel over te nemen.
De kwetsbaarheid (CVE-2020-1895) zat in de open-source JPEG-decoder Mozjpeg. Mozjpeg wordt door de Instagram-app gebruikt om foto's naar Instagram te uploaden. De kwetsbaarheid is al zes maanden geleden gepatcht, maar nu pas naar buiten gebracht in de hoop dat de meeste gebruikers hun app inmiddels hebben geüpdatet, schrijft ComputerWeekly .
Indien een Instagram-gebruiker een kwaadaardige afbeelding had opgeslagen die via e-mail, WhatsApp of sms was verzonden en vervolgens de Instagram-app had geopend, zou de aanvaller volledige toegang krijgen tot de berichten en afbeeldingen van het slachtoffer. Hierdoor kon de aanvaller afbeeldingen op Instagram plaatsen of verwijderen. Ook kon de aanvaller toegang krijgen tot andere functies van de telefoon waaronder locatiegegevens, telefooncontacten en opgeslagen media.
Volgens Yaniv Balmas, hoofd cyberresearch bij Check Point, kleeft er een groot risico aan het gebruik van programmacode van derden, zoals Mozjpeg, zonder de code vooraf grondig te controleren.
Een woordvoerder van Facebook verklaart dat het probleem met de code is opgelost en dat er geen bewijs is dat er misbruik van is gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.