Опасность выявили специалисты Check Point Software. По их данным, уязвимость представляла собой типичное переполнение буфера. При определенных условиях некорректная работа давала возможность запускать на целевом устройстве произвольный код. Достаточно послать жертве изображение с вредоносом.
Для пользователей Instagram эксплоит особенно опасен, т.к. приложение обычно имеет доступ к широкому кругу периферийных служб и компонентов, в т.ч. к геолокации, камере, микрофону, списку контактов и накопителю смартфона. Злоумышленнику достаточно было отправить вредоносное изображение через SMS, WhatsApp, мессенджер или по электронке. При сохранении картинки и запуске в Instagram – хакер получал полный доступ к частной жизни пользователя.
О существующей проблеме эксперты Check Point сообщили компании М.Цукерберга еще зимой. Разработчики Instagram присвоили багу индекс CVE-2020-1895. И хотя патчи для 32 и 64-битных версий приложения были опубликованы в феврале, раскрытие информации задержали до осени. Источник проблемы – кодировщик Mozjpeg (Mozilla JPEG Encoder Project). Соцсеть интегрировала стороннее решение для ускорения сжатия и распаковки изображений в формате JPEG.
