9月24日,在与《The Hacker News》共享的一份报告中,Check Point研究人员披露了有关 Instagram Android应用程序中一个关键漏洞的详细信息,该漏洞可能允许远程攻击者仅向受害者发送特制图像即可控制目标设备。
更令人担忧的是,该漏洞不仅使攻击者可以在Instagram应用程序中代表用户执行操作(包括监视受害者的私人消息,甚至从其帐户中删除或发布照片),而且还可以在设备上执行任意代码。
根据Facebook发布的一份咨询报告,堆溢出安全问题(CVE-2020-1895,CVSS评分:7.8)影响到了Instagram应用程序128.0.0.26.128之前的所有版本。
Check Point Research在9月24日发表的一份分析报告中说:“这一缺陷使该设备成为了一种工具,攻击者可以在他们不知道的情况下监视目标用户,并可以恶意操纵其Instagram个人资料。”
“无论哪种情况,攻击都可能导致对用户隐私的大规模入侵,并可能影响声誉——或者导致更严重的安全风险。
在将调查结果报告给Facebook之后,这家社交媒体公司通过六个月前发布的补丁程序更新解决了该问题。公开披露一直被推迟,以允许大多数Instagram用户更新应用程序,从而减轻此漏洞可能带来的风险。
尽管Facebook证实,没有迹象表明这一漏洞在全球范围内被利用。但这再次提醒人们,让应用程序保持更新并注意授予他们的权限至关重要。
堆溢出漏洞
根据Check Point的说法,内存损坏漏洞允许远程代码执行,鉴于Instagram具有访问用户相机、联系人、GPS、照片库和麦克风的广泛权限,这些代码可能被用来在受感染的设备上执行任何恶意操作。
至于缺陷本身,它源于Instagram集成MozJPEG的方式,MozJPEG是一种开源JPEG编码器库,旨在降低带宽,并为上传到服务的图像提供更好的压缩。当有问题的易受攻击的函数(“read_jpg_copy_loop”)试图使用特制的恶意图像解析恶意图像时,会导致整数溢出尺寸。
这样,攻击者可以获得对分配给图像的内存大小,要覆盖的数据长度以及最后的溢出内存区域内容的控制权,从而使攻击者能够破坏堆中的特定位置并转移代码执行。
攻击者只需通过电子邮件或WhatsApp将损坏的JPEG图像发送给受害者。一旦收件人将图像保存到设备并启动Instagram,攻击就会自动发生,从而授予攻击者对应用程序的完全控制权。
更糟糕的是,除非将其删除并重新安装在设备上,否则该漏洞可用于使用户的Instagram应用程序崩溃并使其无法访问。
Check Point的Gal Elbaz说:“对公开的代码进行模糊处理后发现了一些新漏洞,这些漏洞已得到修复。” “如果付出足够的努力,这些漏洞中的一个很可能在零点击攻击场景中被用于RCE。
“不幸的是,将来还可能会存在或将引入其他错误。因此,有必要在操作系统库和第三方库中对此和类似的媒体格式解析代码进行连续的模糊测试。 ”
Check Point网络研究负责人Yaniv Balmas为智能手机用户提供了以下安全提示:
- 更新。确保定期更新您的移动应用程序和移动操作系统。每周都有几十个重要的安全补丁在这些更新中发布,每一个都可能对你的隐私造成严重影响。
- 监视权限。 更好地关注请求许可的应用程序。对于应用程序开发人员而言,向用户请求过多的权限是毫不费力的,而且用户单击“允许”也很容易,无需三思而后行。
- 三思而后行。 批准任何内容之前,请花几秒钟的时间思考。问:“我是否真的想为此应用程序提供这种访问权限,我真的需要吗?” 如果答案是否定的,就不批准。
稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理,
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册