Instagram : attention, cette faille critique permet d’exécuter du code malveillant sur votre smartphone !

Instagram a été victime d'une faille de sécurité majeure. Cette vulnérabilité, présente dans MozJPEG (un outil de compression open source), permet à un pirate d'exécuter du code malveillant à distance sur votre smartphone, et d'en prendre le contrôle. Elle permet également d'espionner vos messages. 

À lire également : Facebook menace de fermer Facebook et Instagram en Europe

D'après un rapport relayé par nos confrères du site The Hacker News, les chercheurs en sécurité informatique de CheckPoint Research ont découvert une faille de sécurité critique dans Instagram. Cette vulnérabilité, si elle est exploitée, permettrait à un pirate d'exécuter du code malveillant à distance sur le smartphone des utilisateurs, et ce grâce à une image JPEG infectée. 

En outre, cette faille permet également d'espionner les messages privés des victimes et de supprimer les photos des comptes visés. Selon les informations des chercheurs de CheckPoint, cette vulnérabilité concernait toutes les versions de l'application Instagram antérieures à la version 128.0.0.26.128, publiée le 10 février 2020.

“Cette faille transforme le smartphone en un outil d'espionnage des utilisateurs ciblés à leur insu, et permet la manipulation malveillante de leur profil Instagram”, précisent les experts de CheckPoint Research. “Dans les deux cas, l'attaque pourrait conduire à une violation massive de la vie privée des utilisateurs – ou entraîner des risques de sécurité encore plus graves”, poursuivent-ils.

À lire également : YouTube, Instagram, TikTok – une fuite massive expose les données de 235 millions d’utilisateurs

Une faille présente dans MozJPEG

Cette faille se situe visiblement dans l'intégration de MozJPEG, un outil de compression en open source qui permet de réduire la compression des images. Pour exploiter cette vulnérabilité, le pirate doit tout simplement envoyer une image infectée à la victime par mail, par WhatsApp ou toute autre messagerie instantanée. Si le destinataire enregistre la photo sur son smartphone et lance Instagram, le malware se déploie et profite de toutes les permissions d'Instagram (photo, messages, vidéo, etc.) pour prendre le contrôle du smartphone.

CheckPoint Research a informé Facebook de sa découverte il y a six mois. Dans la foulée, Facebook a publié un patch, mais a préféré ne pas ébruiter l'affaire, le temps que l'ensemble des utilisateurs puisse mettre à jour leur application. Voilà pourquoi cette histoire n'est relayée que récemment dans les médias. Le réseau social confirme que la faille n'a pas été exploitée par des groupes de hackers.

Pour rappel, Instagram a défrayé la chronique récemment pour avoir suspendu les comptes des journalistes de Charlie Hebdo qui ont partagé les caricatures de Mahomet.

Source : The Hacker News