Check Point 近期针对全球最受欢迎社群软件之一的 Instagram 进行安全评估,发现其中有一处漏洞可能导致使用者账号遭盗用,攻击者只需向使用者传送一张恶意图片,即可盗用其 Instagram 账号,将手机当成间谍工具。使用者一旦储存并在 Instagram 中打开该图片,攻击者便有权存取使用者的 Instagram 讯息和图片,随意发布或删除图片,甚至还能够骇入手机连络人、相机和所在位置。
Instagram 全球每月活跃使用者将近十亿,每天有超过一亿张照片被分享,无论是个人或企业都透过 Instagram 与其追踪者进行互动,是全球最受欢迎的社群软件之一,如今却存资安风险。Check Point 指出,此漏洞来自于 Instagram 上传图片的 JPEG 格式影像解码器开源软件 Mozjpeg。透过此安全漏洞,即使该指令不在应用程序逻辑或功能之内,攻击者也可以任意操作被盗用的账号。
Check Point 补充,由于 Instagram 拥有非常广泛的装置存取权,一旦被入侵,攻击者可立即将受害手机变成绝佳的间谍工具,严重威胁数百万使用者的隐私。而在发现问题后,Check Point 也立即向 Facebook 和 Instagram 揭露了此研究结果,而 Facebook 也随即发布了相关公告与解决建议,表示此漏洞为“整数溢位导致缓冲区溢位(Integer Overflow leading to Heap Buffer Overflow)” ,并在所有平台上发布了更新版本 。
目前修补程式已经推出,提供大多数使用者足够时间来更新 Instagram,大幅降低了此漏洞被利用的风险。Check Point 强烈建议所有 Instagram 使用者将程式更新至最新版本,并在每次新版本推出后即时进行更新。除此之外,也建议使用者使用 SandBlast Mobile(SBM)来保护行动装置上的资料,免于恶意软件、网络钓鱼、中间人攻击和操作系统漏洞的威胁。
(首图来源:pixabay)
