FacebookはInstagramのバグを削除し、攻撃者がアプリユーザーをスパイできるようにします

 Instagramには大きな脆弱性があり、CVE-2020-1895を追跡し、7.8のCVSSスコアを発行しました。これにより、スマートフォンのカメラやマイクなどのリモートアクセスの実行やハイジャックが発生する可能性があります。

チェック・ポイントは、この脆弱性を「Instagramの画像処理における重大な脆弱性」と説明し、攻撃者が特別に細工した画像を共通のメッセージングプラットフォームまたは電子メールで送信するだけで、被害者の電話に侵入できるようにしました。

Instagramプラットフォームの所有者であるFacebookは、この脆弱性を次のように説明しています。

「InstagramforAndroidで、特別に細工されたサイズの画像をアップロードしようとすると、大きなヒープオーバーフローが発生する可能性があります。これは、128.0.0.26.128より前のバージョンに影響します。

問題は、Instagramが画像処理に使用されるサードパーティのライブラリを処理する方法にありました。 Instagramは、画像のアップロードを処理するために、オープンソースのJPEGデコーダーであるMozijpedを不適切に利用していました。

 チェック・ポイントによると、細工された画像ファイルには、Androidデバイスでアプリの広範な権限リストを利用し、Instagramに許可されているとされる電話上のすべてのリソースへのアクセスを許可できるペイロードが含まれています。

 チェック・ポイントによれば、この脆弱性を悪用することで、ハッカーは電話の連絡先、カメラ、ロケーション/ GPSデータ、ローカルに保存されたファイルにアクセスし、プライバシー、セキュリティ、IDの盗難の問題につながる可能性があります。また、攻撃者がアプリを完全に制御できるため、Instaアプリ自体を介してユーザーに危害を加えるために使用される可能性があります。投稿や写真を許可なく削除したり、アカウント設定を変更したり、ダイレクトメッセージを傍受して読んだりすることができます。

「残念ながら、他のバグが残っているか、将来導入される可能性もあります。そのため、オペレーティングシステムライブラリとサードパーティライブラリの両方で、これと同様のメディア形式解析コードの継続的なファズテストが絶対に必要です。また、受信機をサポートされている少数の画像形式に制限することにより、攻撃対象領域を減らすことをお勧めします。」

この脆弱性は今年の非常に早い時期に検出され、Fabebookがこの問題を修正するのはかなり前のことでした。したがって、このソーシャルメディアアプリは現在安全です。現時点で一般に悪用されているのは、サイバーセキュリティの研究者がInstagramにアプリを更新する時間を与えたかったためです。

専門家はまた、ユーザーにアプリの最新バージョンを使用し、今後も常に更新を探すことを推奨しています。