Equipos de seguridad en Punto de control y Facebook han destacado los peligros de confiar en el código de terceros en el proceso de desarrollo después de revelar un ejecución remota de código (RCE) vulnerabilidad en el Instagram plataforma para compartir fotos, que podría haber permitido a actores malintencionados hacerse cargo del Instagram de su víctima y convertir su dispositivo en una herramienta de espionaje.
Asignado CVE-2020-1895, Facebook describe la vulnerabilidad como una desbordamiento de enteros conduciendo a un desbordamiento del búfer del montón, y existía dentro Mozjpeg, un decodificador JPEG de terceros de código abierto que se utiliza en Instagram para cargar imágenes en la aplicación. Fue parcheado hace seis meses, pero solo se está divulgando ahora que se espera que suficientes usuarios hayan actualizado sus aplicaciones para mitigar su impacto.
Si un usuario de Instagram hubiera guardado una imagen maliciosa enviada por correo electrónico, WhatsApp o SMS, y luego hubiera abierto la aplicación de Instagram, la explotación se habría desencadenado, dándole al atacante acceso completo a los mensajes e imágenes de la víctima, permitiéndole publicar o eliminar imágenes en Instagram y acceda a otras funciones del teléfono, incluidos los datos de ubicación, los contactos del teléfono y los medios almacenados. También podría haberse utilizado para bloquear la instalación de Instagram de la víctima, negándoles el acceso y obligándoles a eliminarlo y reinstalarlo.
Yaniv Balmas de Check Point, jefe de investigación cibernética, advirtió a los desarrolladores sobre los riesgos de usar bibliotecas de códigos de terceros como Mozjpeg sin verificarlas a fondo en busca de errores. Señaló que si bien es común ahorrar tiempo en el proceso de desarrollo mediante el uso de código de terceros para manejar tareas comunes como el procesamiento de imágenes y sonido, dicho código a menudo puede contener errores que introducen vulnerabilidades más serias en el producto final.
“Las bibliotecas de códigos de terceros pueden ser una seria amenaza. Instamos encarecidamente a los desarrolladores de aplicaciones de software a que examinen las bibliotecas de códigos de terceros que utilizan para construir sus infraestructuras de aplicaciones y se aseguren de que su integración se realiza correctamente ”, dijo Balmas.
“El código de terceros se utiliza prácticamente en todas las aplicaciones que existen, y es muy fácil perderse las amenazas graves que contiene. Hoy es Instagram, mañana, ¿quién sabe? » añadió.
Balmas dijo que los usuarios finales también pueden protegerse si se toman el tiempo para verificar los permisos que una aplicación como Instagram tiene en su dispositivo. Aunque esto pueda parecer una carga, también es uno de los mecanismos de defensa más fuertes disponibles para el usuario promedio de aplicaciones.
«Les recomendaría a todos que se tomen un minuto y piensen, ¿realmente quiero que esta aplicación tenga acceso a mi cámara, mi micrófono, etc.?» él dijo.
Balmas también instó a las personas a actualizar regularmente sus aplicaciones móviles y sistemas operativos móviles, señalando que a menudo se envían parches de seguridad críticos en tales actualizaciones todo el tiempo.
Un portavoz de Facebook dijo: “Hemos solucionado el problema y no hemos visto ninguna evidencia de abuso. Estamos agradecidos por la ayuda de Check Point para mantener seguro Instagram «.
Comentando sobre la divulgación, OneLogin El vicepresidente de servicios técnicos, Stuart Sharp, dijo: “Esta vulnerabilidad muestra cuán vulnerables son nuestras cuentas en línea. Al permitir el acceso remoto a una cuenta de Instagram, los atacantes podrían usar esto para cualquier propósito que deseen, incluido el chantaje o el compromiso de cuentas de Instagram corporativas o de alto perfil. Instagram debe trabajar lo más rápido posible para corregir esta vulnerabilidad «.
Argumentó que la divulgación de tal vulnerabilidad debería impulsar a cualquier proveedor de servicios, como Facebook, a «volver al tablero de dibujo» y repensar su enfoque de la seguridad durante el proceso de desarrollo.
Javvad Malik, defensor de la conciencia de seguridad en KnowBe4 describió la vulnerabilidad como interesante y preocupante, dada la cantidad de información confidencial que pueden contener las cuentas de redes sociales.
“Para que este ataque en particular tenga éxito, es necesario enviar una imagen a un objetivo y guardarla en su teléfono. Por lo tanto, una de las mejores formas de defenderse de esto sería que la gente desconfíe de las imágenes entrantes, especialmente de personas desconocidas. Se rumorea que el teléfono de Jeff Bezos también se vio comprometido debido a recibir un video con malware a través de WhatsApp,» él dijo.
“Los usuarios también pueden desactivar el guardado automático de imágenes que se reciben a través de redes sociales como Whatsapp. Para los influencers o gerentes de marca que usan Instagram u otras redes sociales a título profesional, vale la pena considerar el uso de dispositivos separados para el trabajo y los usos personales de las redes sociales. Esto se aplicaría no solo a los influencers y las celebridades, sino también a cualquier personal que los apoye y tenga acceso a sus cuentas ”, agregó Malik.
El equipo de investigación de Check Point ha publicado detalles técnicos completos sobre CVE-2020-1895 en línea. Notaron que el error de Instagram era probablemente «la punta del iceberg» cuando se trataba de Mozjpeg.
“El proyecto basado en Mozilla todavía se usa ampliamente en muchos otros proyectos en la web, en particular Firefox, y también se usa ampliamente como parte de diferentes proyectos populares de código abierto, como agudo y libvips proyecto ”, dijeron los investigadores de Check Point.