Les chercheurs en sécurité de CheckPoint viennent de révéler avoir trouvé, en début d’année, une faille critique dans l’application mobile Instagram. Elle pouvait être exploitée aussi bien sur iOS que sur Android et permettait, par l’envoi d’une image piégée, de prendre le contrôle à distance de l’application.
Un attaquant aurait donc pu lire et écrire des messages, mais aussi — compte tenu des privilèges d’accès d’Instagram — accéder au carnet d’adresses, au module caméra et aux données GPS. Bref, l’application de réseau social se serait transformée en un parfait logiciel d’espionnage.
La faille, que Facebook a colmatée en février dernier, se situait dans l’utilisation de la librairie Mozjpeg, qui permet d’encoder des images au format JPEG. Dès que l’application Instagram tombe sur une nouvelle image, elle fait appel à cette librairie. Le bug pouvait alors provoquer un dépassement de nombre entier (« integer overflow ») et, par conséquent, autoriser l’exécution de code arbitraire.
Source : CheckPoint
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
