La faille d’Instagram montre l’importance de la gestion des applications et des images tierces

  • FrançaisFrançais


  • Une faille d’exécution de code à distance (RCE) trouvée dans Instagram qui permet à des acteurs malveillants de prendre potentiellement le contrôle du téléphone d’une victime en envoyant une image malveillante devrait inciter les organisations à sécuriser les applications tierces ainsi que les fichiers image.

    Des chercheurs de Check Point ont écrasé Mozjpeg, un logiciel open source qu’Instagram utilise comme décodeur pour les images téléchargées sur le service de partage de photos, pour exploiter CVE-2020-1895, selon un article de blog. Bien que le bogue ait été découvert sur un appareil Android, Check Point a déclaré que les appareils iOS étaient également menacés.

    Yaniv Balmas, responsable de la recherche cybernétique chez Check Point, a déclaré qu’Instagram avait commis une erreur en intégrant Mozjpeg dans l’application Instagram. Balmas a déclaré que le code d’analyse d’image utilisé comme bibliothèque tierce était finalement la partie la plus faible de l’application Instagram, notant que les chercheurs avaient pu la planter 447 fois. Check Point a informé le propriétaire d’Instagram Facebook de la vulnérabilité et elle a depuis été corrigée.

    «Chaque application moderne utilise des bibliothèques tierces, cela n’aurait aucun sens de se développer autrement», a déclaré Balmas. «Mais cela ne signifie pas que vous devez lui faire confiance aveuglément. À l’avenir, les développeurs doivent traiter les bibliothèques tierces comme si c’était leur propre code. »

    Synopsis a révélé que les logiciels open source représentent en moyenne 70% du code dans les applications commerciales auditées – et 99% de toutes les applications ont un aspect du code open source qui leur est associé, Tim Mackey, principal stratège de sécurité au Synopsys Cybersecurity Research Center , a cité le rapport OSSRA 2020 de la société.

    À propos du CVE découvert par Check Point, Mackey a déclaré que, étant donné que les attaquants peuvent facilement manipuler les données d’image, les équipes de développement doivent traiter les images comme des entrées non validées et tester les effets de la corruption. Il a déclaré que les équipes de développement devraient traiter tout comportement anormal lors de ces tests avec le même niveau de priorité donné à une injection SQL ou à toute autre faiblesse d’entrée non validée dans le code.

    «L’open source présente de nombreux avantages, mais comporte une responsabilité d’utilisation partagée», a déclaré Mackey. «Si vous utilisez un composant open source et qu’il est essentiel au succès de votre application ou de votre entreprise, vous devez le gérer correctement. Une partie de cette responsabilité consiste à vérifier que les composants choisis sont utilisés en toute sécurité dans vos applications. S’il s’avère qu’il y a un problème, il est de votre responsabilité de le signaler aux auteurs, mais idéalement si vous êtes en mesure de fournir une solution, faites-le. L’open source prospère lorsqu’il existe des communautés dynamiques soutenant des projets et que la sécurité de tous les logiciels n’est aussi bonne que le composant le plus faible. »

    Chris Olson, fondateur et PDG de The Media Trust, a déclaré que les professionnels de la sécurité devraient considérer une découverte CVE sur une grande plate-forme comme Facebook / Instagram comme un drapeau rouge.

    «Les grandes plates-formes dépensent beaucoup de ressources pour protéger leurs écosystèmes, donc si cela pouvait arriver là-bas, c’est important», a déclaré Olson. «Ce qui m’inquiète davantage, c’est que la plupart des entreprises se concentrent sur la protection de leurs propres infrastructures et non sur les consommateurs qui utilisent principalement des tiers, quatrième et cinquième parties pour exécuter les grandes applications de la plate-forme. La grande majorité des cyberattaques concernent les applications tierces, quatrième et cinquième. C’est le plus gros «échec» de la cybercriminalité et trop d’entreprises ne savent même pas que c’est un problème. »

    Tim Erlin, vice-président de la gestion des produits et de la stratégie chez Tripwire, a été plus discret, affirmant qu ‘«il n’y a rien de nouveau dans les exploitations de bibliothèques tierces». Erlin a déclaré que la vulnérabilité unique découverte par Check Point était préoccupante car Instagram compte des millions d’utilisateurs et d’organisations telles que des éditeurs, des services de marketing d’entreprise, des réseaux publicitaires et des laboratoires de radiologie utilisant des milliers d’images chaque jour.

    «Mon conseil aux développeurs est d’exécuter une analyse de vulnérabilité sur toutes les applications tierces que vous utilisez pour traiter les images, ainsi que toutes les applications tierces sur le site Web», a déclaré Erlin. «Ils devraient également effectuer régulièrement des analyses de vulnérabilité, un processus doit être mis en place. Pour les entreprises qui ne veulent pas ralentir les choses et exécuter les analyses, trouvez des outils pour automatiser le processus. »

    Source

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *