有没有想过黑客如何能远程入侵您的智能手机?
在今天与《黑客新闻》共享的一份报告中,Check Point研究人员披露了有关 Instagram Android应用程序中一个关键漏洞的详细信息,该 漏洞可能允许远程攻击者仅通过向受害者发送特制图像即可控制目标设备。
更令人担忧的是,该漏洞不仅使攻击者可以在Instagram应用程序中代表用户执行操作(包括监视受害者的私人消息,甚至从其帐户中删除或发布照片),而且还可以在设备上执行任意代码。
根据 Facebook发布的 咨询报告,堆溢出安全问题(跟踪为CVE-2020-1895,CVSS得分:7.8)影响128.0.0.26.128之前的Instagram应用程序的所有版本,该版本于2月10日早些时候发布年。
Check Point Research在今天发表的一份分析报告中说:“这一缺陷使该设备成为了一种工具,可以在他们不知道的情况下监视目标用户,并可以恶意操纵其Instagram个人资料。”
“无论哪种情况,这种攻击都可能导致用户隐私的大规模入侵,并可能影响声誉-或导致更为严重的安全风险。”
在将调查结果报告给Facebook之后,这家社交媒体公司通过六个月前发布的补丁程序更新解决了该问题。公开披露一直被推迟,以允许大多数Instagram用户更新应用程序,从而减轻此漏洞可能带来的风险。
尽管Facebook确认没有迹象表明此漏洞已在全球范围内利用,但该开发再次提醒了为什么保持应用程序最新并记住授予它们的权限至关重要。
堆溢出漏洞
根据Check Point的说法,内存损坏漏洞允许远程执行代码,鉴于Instagram拥有访问用户的相机,联系人,GPS,照片库和麦克风的广泛权限,可以利用该漏洞对受感染的设备执行任何恶意操作。
至于漏洞本身,它源于Instagram集成MozJPEG的方式 -MozJPEG 是一个开放源代码JPEG编码器库,旨在降低带宽并为上载到服务的图像提供更好的压缩-当有问题的易受攻击的功能(导致“ read_jpg_copy_loop”)尝试解析特制尺寸的恶意图像。
这样,攻击者可以获得对分配给图像的内存大小,要覆盖的数据长度以及最后的溢出内存区域内容的控制权,从而使攻击者能够破坏特定的内容。堆中的位置并转移代码执行。
这种漏洞的后果是,不良行为者所需要做的就是通过电子邮件或WhatsApp将损坏的JPEG图像发送给受害者。收件人将图像保存到设备并启动Instagram后,利用就会自动进行,从而使攻击者可以完全控制该应用程序。
更糟糕的是,除非将其删除并重新安装在设备上,否则该漏洞可用于使用户的Instagram应用程序崩溃并使其无法访问。
如果有的话,该漏洞表明如果没有正确进行集成,如何将第三方库合并到应用程序和服务中可能成为安全性的薄弱环节。
Check Point的Gal Elbaz说:“对公开的代码进行模糊处理后发现了一些新漏洞,这些漏洞已得到修复。” “很可能,经过足够的努力,在零点击攻击情形下,这些漏洞之一可以被利用来进行RCE。
“不幸的是,将来还可能会存在或会引入其他错误。因此,绝对有必要在操作系统库和第三方库中对此和类似的媒体格式解析代码进行连续的模糊测试。 ”
Check Point网络研究负责人Yaniv Balmas为智能手机用户提供了以下安全提示:
- 更新!更新!更新! 确保定期更新移动应用程序和移动操作系统。每周都会在这些更新中发布数十个重要的安全补丁,每个补丁都可能对您的隐私造成严重影响。
- 监视权限。 更好地关注请求许可的应用程序。对于应用程序开发人员而言,向用户请求过多的权限是毫不费力的,而且用户单击“允许”也很容易,无需三思而后行。
- 三思而后行。 批准任何内容之前,请花几秒钟的时间思考。问:“我是否真的想为此应用程序提供这种访问权限,我真的需要吗?” 如果答案是否定的,则不批准。
