Если либа, которая отображает условный JPEG работает так, как задумывал разработчик - то никак. Из этого строится ваше предложение. Но некоторые разработчики криворукие, и могут, например, неправильно обрабатывать размер буфера памяти, длину строки, символ конца строки, переполнение стека и т.п., при этом указатель на исполняемый в данный момент код, может "скакнуть" не туда, куда надо. И есть хакеры, которые могут проанализировать, как на самом деле работает код криворукого программиста, и сформировать файл, который вызывает передачу управления в сегмент памяти, который занимает тот самый JPEG, который уже загружен в память перед рендерингом. Хакеру нужно рассчитать, куда именно будет передано управление, и разместить там код. Примерно так же работают некоторые старые "активаторы Windows" и т.п. Уязвимость работает до тех пор, пока разработчик не исправит баг. Это один из сценариев и очень примитивное объяснение. Полноценные статьи про это довольно объемные. Но в целом это не миф, и такие баги могут встречаться как, например, в коде Telegram или Whatsap, так и в коде самого iOS или Android. Насколько быстро дыра будет прикрыта фиговым листком - зависит от того, когда разработчик о ней узнает и насколько быстро отреагирует. Может быть дни, а может и месяцы. Плюс даже после выпуска исправленной версии далеко не все пользователи торопятся устанавливать обновления. Так что шанс словить зловред реально есть.

Полетели тут везде и всюду по всем каналам шайтан-предупреждения про то, что нельзя теперь кликать по картинкам и видео в телеге, вацапе и прочих, а то будет ай-яй-яй вселенский, фишинговые сайты вас поработят и украдут, предупредите бабушек и т.п.

Подозреваю, что ноги растут из новости от Касперского и из публикаций на Хабре (не сильно свежих), но не суть.

В общем, суть этих предупреждений я прописал в верхнем абзаце, но мне вот интересно... Я в общем, конечно, не айтишник, работаю хоть и за компьютером, но в другой области, но когда-то давно я закончил ТУСУР (универ систем управления и радиоэлектроники), и в целом примерно в теме. И, кмк, передать вирус тупо в ждипеге мптришке или авишке (ну, не важно, пусть png, mp4, gif и прочее), при условии, что эти видео, аудио, анимации и картинки воспроизводятся непосредственно мессенджером, - нереально. Да и неважно, мессенджером, или специальной программой-проигрывателем, которая заточена на этот конкретный формат.

Если у меня на компе/телефоне стоит какой-нибудь условный винамп, и ему скормить любой файл с расширением .mp3, то он его либо воспроизведёт (если там аудио), либо скажет "пшёлнах", если там белиберда из тупо переименованного файла.

Так же и с изображениями и видео. Хоть в специализированных проигрывателях, хоть непосредственно в мессенджерах.

Я прав? Или я неправ, и таки можно как-то заточить внутрянку джипега (и прочих) так, чтоб при попытке его отображения вдруг начал выполняться какой-нибудь вирус?

Мне почему-то кажется это нереальным, но вдруг я отстал от прогресса...