Creation : servicesmobiles
Instagram est l’une des plate-formes de réseaux sociaux les plus populaires au monde, avec plus de 100 millions de photos téléchargées chaque jour et près d’un milliard d’utilisateurs actifs. Des personnes et des entreprises partagent des photos et des messages sur leur vie et leurs produits avec leurs fans dans le monde entier. Imaginez donc ce qui pourrait se passer si un pirate pouvait s’emparer complètement des comptes Instagram et accéder à tous les messages et photos de ces comptes, poster de nouvelles photos, ou supprimer ou manipuler des photos existantes.
Les chercheurs de Check Point ont découvert une vulnérabilité critique dans l’application Instagram, qui aurait permis à un pirate de prendre le contrôle du compte Instagram d’une victime et de transformer son téléphone en outil d’espionnage, simplement en lui envoyant un fichier image malveillant. Lorsque l’image est enregistrée et ouverte dans l’application Instagram, la vulnérabilité associée fournirait au pirate un accès complet aux messages et aux images Instagram de la victime, lui permettant de poster ou de supprimer des images à volonté, ainsi que d’accéder aux contacts du téléphone, à l’appareil photo et aux données de localisation.
Les systèmes d’exploitation mobiles modernes comportent plusieurs couches de protection contre ce type d’activité malveillante. Ces protections reposent généralement sur un concept d’isolement des applications : même si quelqu’un était en mesure de pirater une application spécifique, il serait toujours confiné à cette seule application, avec ses autorisations strictes, et ne pourrait pas étendre sa tentative de piratage plus en avant. Le terme clé ici est celui de permissions strictes. Par exemple, une application de cartographie devrait pouvoir accéder à votre localisation, mais ne devrait pas avoir accès à votre microphone ; une application de rencontre devrait pouvoir accéder à votre caméra et rien d’autre, etc.
Mais que se passe-t-il lorsqu’une application a des autorisations étendues sur votre appareil ? Si l’application est piratée, le pirate aura facilement accès à vos données GPS, à votre appareil photo, à votre microphone, à vos contacts, etc. Heureusement, le nombre d’applications qui ont des autorisations aussi étendues sur les appareils des utilisateurs est limité. Instagram en est un exemple.
La réponse est que la plupart des développeurs d’applications modernes ne programment pas eux-mêmes toute l’application : si c’était le cas, il faudrait des années pour programmer une application. Ils ont recours à des bibliothèques tierces pour traiter des tâches courantes (et souvent compliquées) telles que le traitement des images, le traitement du son, la connectivité réseau, etc. Cela permet aux développeurs de gagner du temps et de n’avoir à s’occuper que des tâches de programmation qui représentent la véritable valeur de l’application. Cependant, cela dépend de la fiabilité et de la sécurité de ces bibliothèques tierces.
Check Point a examiné les bibliothèques tierces utilisées par Instagram. Et la vulnérabilité découverte se trouve dans la manière dont Instagram utilise Mozjpeg, un projet open source utilisé par Instagram pour décoder les images au format JPEG téléchargées dans l’application.
Facebook a publié depuis l’alerte un correctif depuis maintenant 6 mois pour remédier au problème sur les nouvelles versions de l’application Instagram sur toutes les plates-formes. Nous recommandons vivement à tous les utilisateurs d’Instagram de s’assurer qu’ils utilisent la dernière version de l’application Instagram, et à la mettre à jour lorsqu’une nouvelle version est disponible.