黑客可以利用Instagram的漏洞远程控制您的手机

漏洞披露

昨天《黑客新闻》共享的一份报告中，Check Point研究人员披露了有关 Instagram Android应用程序中一个关键漏洞的详细信息，该漏洞可以允许远程攻击者仅通过向受害者发送特制图像即可控制目标设备。

更令人担忧的是，该漏洞不仅使攻击者可以在Instagram应用程序中代表用户执行操作（包括监视受害者的私人消息，甚至从其帐户中删除或发布照片），而且还可以在设备上执行任意代码。

根据 Facebook发布的 咨询报告，堆溢出安全问题（跟踪为CVE-2020-1895，CVSS得分：7.8）影响128.0.0.26.128之前的Instagram应用程序的所有版本，该版本于2月10日早些时候发布的。

Check Point Research在昨天发表的一份分析报告中说：“这一缺陷使该设备成为黑客的一种工具，黑客可以在用户不知道的情况下监视目标用户，并可以恶意操纵其Instagram个人资料。”

“无论哪种情况，这种攻击都能导致用户隐私的大规模入侵，并可能影响其声誉-或导致更为严重的安全风险。”

在将调查结果报告给Facebook之后，这家社交媒体公司通过六个月前发布的补丁程序更新解决了该问题。公开披露一直被推迟，以允许大多数Instagram用户更新应用程序，从而减轻此漏洞可能带来的风险。

尽管Facebook确认没有迹象表明此漏洞已在全球范围内利用，但该开发再次提醒了保持应用程序最新并记住授予它们的权限是十分重要。

漏漏分析

根据Check Point的说法，内存损坏漏洞允许远程执行代码，鉴于Instagram拥有访问用户的相机，联系人，GPS，照片库和麦克风的广泛权限，可以利用该漏洞对受感染的设备执行任何恶意操作。

至于漏洞本身，它源于Instagram集成MozJPEG的方式 -MozJPEG 是一个开放源代码JPEG编码器库，旨在降低带宽并为上载到服务的图像提供更好的压缩-当有问题的易受攻击的功能（导致“ read_jpg_copy_loop”）尝试解析特制尺寸的恶意图像。

这样，攻击者可以获得分配给图像的内存大小，要覆盖的数据长度以及最后的溢出内存区域内容的控制权，从而使攻击者能够破坏特定的内容，堆中的位置并转移代码执行。

这种漏洞的后果是，黑客所需要做的就是通过电子邮件或WhatsApp将损坏的JPEG图像发送给受害者。收件人将图像保存到设备并启动Instagram后，利用就会自动进行，从而使攻击者可以完全控制该应用程序。

更糟糕的是，除非将其Instagram应用程序删除并重新安装在设备上，否则该漏洞使用户的Instagram应用程序崩溃并使其无法访问。

如果有的话，该漏洞表明如果没有正确进行集成，如何将第三方库合并到应用程序和服务中可能成为安全性的薄弱环节。

Check Point的Gal Elbaz说：“对公开的代码进行模糊处理后发现了一些新漏洞，这些漏洞已得到修复。”

安全提示

Check Point网络研究负责人Yaniv Balmas为智能手机用户提供了以下安全提示：

更新！更新！更新！ 确保定期更新移动应用程序和移动操作系统。每周都会在这些更新中发布数十个重要的安全补丁，每个补丁都可能对您的隐私造成严重影响。

监视权限。 更好地关注请求许可的应用程序，对于应用程序开发人员而言，向用户请求过多的权限是毫不费力的，而且用户单击“允许”也很容易，需三思而后行。批准任何内容之前，请花几秒钟的时间思考。问：“我是否真的想为此应用程序提供这种访问权限，我真的需要吗？” 如果答案是否定的，则不批准。

END

请严格遵守网络安全法相关条例！此分享主要用于学习，切勿走上违法犯罪的不归路，一切后果自付！