Skip to main content

Les experts du cabinet Check Point Security ont découvert une faille RCE pour détourner l’application mobile Instagram.

Des chercheurs de la société de cybersécurité Check Point ont découvert une vulnérabilité dans l’application mobile d’Instagram qui permet à un attaquant de détourner le téléphone d’une cible à distance. La position GPS de l’utilisateur, les contacts du téléphone et même l’appareil photo sont accessibles avec cette méthode. Tout commence par une photo malveillante.

La façon dont cela fonctionne est que l’attaquant envoie une photo à la cible. L’image peut venir par e-mail, WhatsApp ou «toute autre plateforme d’échange multimédia». La victime doit enregistrer l’image sur le téléphone. L’enregistrement peut se faire manuellement, mais selon le type de téléphone, la façon dont il est configuré et la plate-forme utilisée pour transférer l’image, le téléphone peut l’enregistrer automatiquement. Par exemple, WhatsApp enregistre automatiquement les images par défaut.

Une fois stocké sur l’appareil, le code RCE (Remote Code Execution) intégré dans l’image est déclenché lorsque l’utilisateur ouvre l’application Instagram. Plus techniquement, le malware crée un «débordement d’entier menant au débordement de la mémoire tampon». Une fois exploité, l’attaquant obtient un accès complet à l’application Instagram. Le pirate informatique peut ensuite lire des messages directs sur le compte Instagram de la victime, supprimer ou publier des photos, modifier le profil du compte ou à peu près tout ce qui est autorisé par l’application. La vulnérabilité existe à la fois sur les versions iOS et Android.

https://twitter.com/_CPResearch_/status/1309081885558087680

De plus, étant donné qu’Instagram a généralement des autorisations pour accéder à certaines fonctionnalités externes du téléphone, les pirates peuvent accéder à la localisation GPS, parcourir les contacts, allumer l’appareil photo du téléphone et accéder aux fichiers stockés sur l’appareil. L’attaquant peut également planter l’application Instagram, empêchant l’utilisateur d’y accéder jusqu’à ce qu’elle soit supprimée et réinstallée.

Check Point dit que la vulnérabilité de l’application Instagram a été causée par des développeurs utilisant un code tiers pour le traitement d’images. L’octroi de licences de bits de code ou la recherche d’alternatives open source évite aux développeurs d’avoir à concevoir des processus communs à partir de zéro. Cependant, cela peut souvent conduire à des exploits imprévus, ce qui est arrivé dans ce cas. Plus précisément, Check Point a trouvé la faiblesse dans une routine de décodeur JPEG open source appelée «Mozjpeg».

Check Point a informé la société mère d’Instagram, Facebook, de la faille de sécurité avant de la divulguer au public. Facebook a immédiatement publié un correctif, donc tant que votre application est mise à jour, la vulnérabilité ne devrait poser aucun problème.

« Nous avons résolu le problème et n’avons vu aucune preuve d’abus », a déclaré un porte-parole de Facebook à propos de l’exploit. « Nous sommes reconnaissants de l’aide de Check Point pour assurer la sécurité d’Instagram. »