Facebook删除了Instagram漏洞,使攻击者可以监视应用程序用户
Instagram有一个重大漏洞,可追溯到CVE-2020-1895,其CVSS评分为7.8,这可能导致远程访问执行并劫持SmartPhones摄像头,麦克风等。 Check Point将这个漏洞描述为“ Instagram图像处理中的关键漏洞”,攻击者仅通过通过公用消息平台或通过电子邮件向其发送特制图像,才能闯入受害者的手机。 Instagram平台的所有者Facebook将此漏洞解释为: “尝试上传特制尺寸的图像时,Android版Instagram可能会发生大量堆溢出。这会影响128.0.0.26.128”之前的版本。 问题在于Instagram如何处理用于图像处理的第三方库。 Instagram不当地利用了开源JPEG解码器Mozijped来处理图像上传。 根据Check Point的要求,精心制作的图像文件包含有效载荷,该载荷可以利用应用在Android设备上的广泛权限列表,并授予对涉嫌允许Instagram使用的手机上所有资源的访问权限。 Check Point表示,通过利用此漏洞,黑客可以访问电话联系人,相机,位置/ GPS数据和本地存储的文件,并导致隐私,安全性和身份盗用问题。另外,当攻击者获得对该应用程序的完全控制时,它可能会通过insta应用程序本身来危害用户。他们可以删除帖子,未经许可的照片,更改帐户设置以及截取直接消息并阅读它们。 “不幸的是,将来可能还会存在或将引入其他错误。因此,绝对必需在操作系统库和第三方库中对此和类似的媒体格式解析代码进行连续的模糊测试。我们还建议通过将接收器限制为少量受支持的图像格式来减少攻击面”。 该漏洞是在今年年初检测到的,距离Fabebook修复此问题的时间还早。因此,此社交媒体应用目前是安全的。目前被公众利用的原因是因为网络安全研究人员希望给Instagram时间来更新他们的应用程序。 专家还建议用户使用应用程序的最新版本,并在以后始终寻找更新。