Check Point資安研究人員發現熱門的社交平臺Instagram,存在嚴重的漏洞,駭客只要傳送一張惡意的JPEG圖片給被害者,就能夠入侵被害者的Instagram帳號,甚至存取相機、麥克風和聯絡人資料。Check Point已經向臉書回報該漏洞,臉書也已經釋出修補該漏洞的Instagram程式。

這個Instagram漏洞允許攻擊者進行遠端程式碼執行,駭進Instagram應用程式中,執行任意行為,即便這些行為,並非應用程式的邏輯或是功能的一部分也沒問題,Check Point提到,因為Instagram應用程式具有非常大的權限,因此攻擊者甚至可以將受害者手機,轉成間諜工具。

值得一提的是,這個漏洞並非來自於Instagram本身的程式碼,而是Instagram所使用的第三方函式庫Mozjpeg。不少現代應用程式開發人員,並不會自己從頭開發應用程式,而是使用第三方函式庫,來處理圖像、聲音和網路連接等複雜的任務,這樣的開發方法,不只讓應用程式的開發速度更快,也能使開發人員專注在應用程式核心邏輯的開發上,也因為如此,當第三方函式庫存在安全性問題,應用程式也會受到影響。

Check Point檢查了Instagram所使用的第三方函式庫,Instagram將Mozjpeg用作JPEG格式圖像解碼器,能夠在客戶端處理要上傳至後臺服務的圖片,而Instagram使用開源專案Mozjpeg的方式存在漏洞。Mozjpeg為Mozilla在2014年發布的開源專案,建立於大多數Linux發行版預設提供的函式庫Libjpeg-turbo編碼器之上,其目的是要提供網頁圖像更好的壓縮效果,透過減少檔案大小以降低頻寬使用,使得應用能更快地載入網頁圖像。

攻擊者只要傳送一張精心製作的照片,到受害者的電子郵件信箱、WhatsApp或是其他媒體交換平臺,當受害者開啟Instagram應用程式,在Instagram解析JPEG圖像檔案的時候,處理圖像尺寸的功能便會崩潰,而使得攻擊者有機可乘,進而取用Instagram能夠存取的任何手機資源,包括聯絡人、裝置儲存、位置服務和相機。

攻擊者也能夠完全控制Instagram應用程式,代表用戶進行任何操作,像是讀取所有個人訊息,或是隨意刪除與發布照片,也能夠將受害者裝置變成監控工具,在用戶不知情的情況下侵害隱私、聲譽,甚至導致更嚴重的安全問題。

由於該漏洞使用戶的Instagram應用程式崩潰,因此能有效地拒絕用戶存取該應用,直到用戶刪除應用程式,並且重新安裝之後,才能恢復正常使用。研究人員提到,現代行動作業系統通常會以權限限制應用程式的行為,來保護用戶免受惡意人士,透過竊取資料或是憑證等手段,監控用戶的位置和個人資料。

像是地圖應用程式,只能存取裝置位置,但不能存取麥克風,抑或是交友應用程式,應該只能存取相機,限制其他不相關的操作,研究人員表示,當攻擊者入侵具有廣泛權限的應用程式,便能存取GPS、相機、麥克風和聯絡人資料,產生巨大的安全危害。


Advertisement

更多 iThome相關內容