Une faille dans une librairie JPEG permettait de prendre le contrôle total de l’application et de la transformer en logiciel d’espionnage. Heureusement, la faille a été corrigée.
Les chercheurs en sécurité de CheckPoint viennent de révéler avoir trouvé, en début d’année, une faille critique dans l’application mobile Instagram. Elle pouvait être exploitée aussi bien sur iOS que sur Android et permettait, par l’envoi d’une image piégée, de prendre le contrôle à distance de l’application.
Un attaquant aurait donc pu lire et écrire des messages, mais aussi — compte tenu des privilèges d’accès d’Instagram — accéder au carnet d’adresses, au module caméra et aux données GPS. Bref, l’application de réseau social se serait transformée en un parfait logiciel d’espionnage.
La faille, que Facebook a colmatée en février dernier, se situait dans l’utilisation de la librairie Mozjpeg, qui permet d’encoder des images au format JPEG. Dès que l’application Instagram tombe sur une nouvelle image, elle fait appel à cette librairie. Le bug pouvait alors provoquer un dépassement de nombre entier (« integer overflow ») et, par conséquent, autoriser l’exécution de code arbitraire.