InstaHack:惡意圖像成為Instagram 應用程式高危漏洞
Check Point 研究人員發現 Instagram 應用程式存在一個高危漏洞,攻擊者只需向受害者發送一個惡意圖像文件,即可控制其 Instagram 帳戶,並將其手機變成間諜工具。用戶一旦儲存並在 Instagram 應用程式中打開該圖像,黑客便能夠完全瀏覽受害者的 Instagram 消息和圖像,隨意發布或刪除圖像,甚至還可以瀏覽手機聯絡人、相機和位置數據。
Instagram 是全球最受歡迎的社交媒體平台之一,每月活躍用户近十億,每日上傳上億張照片。個人和公司用戶與全球追蹤者分享有關其生活和產品的照片和消息。試想一下,如果黑客能夠完全控制Instagram 帳戶,並瀏覽這些帳戶中的所有消息和照片、發布新照片或者刪除或處理現有照片,將會發生什麼?這又會對個人或公司的聲譽造成什麼影響?
手機應用程式有哪些權限?
為了與家人、朋友和同事保持聯繫,我們通常會隨身攜帶手機。因此,手機成為黑客眼中一個極具吸引力的目標。他們不僅可以從手機中竊取數據和憑證,還可以使用手機來監察我們,包括跟蹤我們的位置、竊聽對話以及瀏覽我們的數據和訊息。
幸運的是,所有現代流動操作系統都針對這種惡意活動提供了多層防護措施。這些防護措施通常都按照「應用程式隔離」這個基本原則,這意味著即便黑客攻破了某個應用程式,也只能入侵該應用程式,嚴格的權限管理可防止黑客進一步擴大攻擊範圍。
但如果某個應用程式擁有廣泛的設備權限,將會怎樣?一旦該應用程式遭到攻擊,黑客將能夠輕鬆瀏覽和進入你的 GPS 數據、相機、麥克風、通訊錄等。慶幸的是,用戶設備上只有少量應用程式擁有如此廣泛的權限。Instagram 便是其中的一個。
審查結果
Check Point通過研究發現了一個重大漏洞,當中可允許攻擊者遠程執行代碼 (RCE)(一個技術名詞)。藉此漏洞,攻擊者可以在 Instagram 應用程式中隨意執行任何操作(即使該操作不在應用程式邏輯或功能範圍之內)。由於 Instagram 應用程式具有非常廣泛的權限,一旦被攻擊者入侵,攻擊者可立即將目標手機變成完美的間諜工具,這對數百萬用戶的私隱構成了嚴重威脅。
研究方法
出現漏洞的原因在於大多數現代應用程式開發人員實際上並不會親自編寫整個應用程式。編寫整個應用程式需要幾年的時間才能完成,因此他們都使用第三方數據庫來處理常見(且通常複雜)的任務,例如圖像處理、聲音處理、網絡連接等。這讓開發人員集中精力處理應用程式的核心業務邏輯:編碼任務。但前提是第三方數據庫完全可信和安全。
有鑑於此,Check Point 決定對 Instagram 使用的第三方數據庫進行審查,並最終發現問題出在 Instagram使用 Mozjpeg 的方式上。Mozjpeg 是一個開源項目,被 Instagram 用作 JPEG 格式圖像解碼器來解碼上傳到該服務的圖像。
惡意圖像:入侵並接管用戶的Instagram 帳戶
攻擊者只需通過電子郵件、WhatsApp 或其他媒體平台向目標受害者發送一張圖像。目標用戶將圖像儲存在手機上後,一旦打開 Instagram 應用程式,帳戶即被攻陷,攻擊者將完全擁有Instagram瀏覽權限的手機中任何手機資源, 包括通訊錄、設備儲存、位置服務和裝置攝影機。事實上,攻擊者可以完全控制該應用程式,並且可以代表用戶進行操作,包括讀取其 Instagram 帳戶中的所有個人消息以及隨意刪除或發布照片。攻擊者可利用用戶設備在目標用戶毫不知情的情況下對其進行監視,並對其 Instagram 的個人資料進行惡意操作。無論哪種情況,都會造成大規模用戶私隱洩漏,並可能影響聲譽或帶來更嚴重的安全風險。
基本上,攻擊者可利用此漏洞致使用戶的 Instagram 應用程式崩潰,即拒絕用戶瀏覽該應用程式,用戶只有卸載重裝後才能進入。這不僅給用戶帶來了不便,還可造成潛在的數據遺失。
披露與保護
Check Point已經向 Facebook 和 Instagram 團隊披露調查結果。Facebook 很快便發布相關公告,並提供解決建議,他們將此漏洞描述為「整數溢出導致堆緩衝區溢出」,並發布一個補丁來幫助修復所有平台上新版 Instagram 應用程式中的問題。同時強烈建議所有 Instagram 用戶使用最新版本的 Instagram 應用程式,在新版本推出後及時進行更新。
Check Point 的 SandBlast Mobile (SBM) 具有高級威脅防禦功能,提供對流動風險的可視性。SandBlast Mobile 可幫助用戶抵禦惡意軟件、網絡釣魚、中間人攻擊和操作系統漏洞利用等威脅。 SandBlast Mobile 直觀易用,能夠及時通知遭到攻擊的用戶。