Исследователи киберзащитной компании Check Point обнаружили в приложении Instagram критическую уязвимость, позволяющую злоумышленникам завладеть полным контролем над учетной записью пользователя. Просто отправив вредоносный файл с картинкой, предупредили эксперты, хакеры могут превратить смартфон в полноценный шпионский инструмент.
Крупная ошибка была найдена в Mozjpeg — сторонней библиотеке с открытым исходным кодом, которую Instagram использует в iOS- и Android-приложениях для декодирования JPEG-изображений, загружаемых на сервис. Если пользователь сохранит созданную особым образом картинку (отправленную через почту, WhatsApp или другой мессенджер) и запустит Instagram, то киберпреступники получат доступ ко всем функциям устройства, открытым приложению.
Речь идет об адресной книге, микрофоне, камере, медиагалерее, GPS-координатах и других данных. Злоумышленники в том числе смогут читать все личные сообщения в Instagram, удалять и публиковать фотографии. "Это превращает устройство в инструмент для шпионажа без ведома пользователей, а также позволяет злонамеренно манипулировать их профилем Instagram", — сообщили в Check Point.
Уязвимость была устранена вскоре после того, как специалисты уведомили о ней администрацию Instagram и Facebook (запрещена в РФ). Патч был выпущен еще полгода назад, отметили в компании, однако пользователи, которые не обновили приложение до последней версии, все еще рискуют стать жертвой хакеров.
