只要點開一張圖 IG 帳號就被盜!資安研究發現漏洞回報 Facebook

你有沒有覺得前幾個 Instagram 帳號被盜的情形異常猖獗?資安廠商 Check Point 發現有個漏洞可透過一張圖獲得 IG 權限,經回報 Facebook 也在後續更新中修補了此項漏洞。
評論
Shutterstock/達志影像
Shutterstock/達志影像
評論

以下內容來自 Check Point 提供之新聞稿,INSIDE 經編審後刊出。

網路安全解決方案廠商 Check Point 近期針對全球最受歡迎社群軟體之一的 Instagram 進行安全評估,發現其中有一處漏洞可能導致使用者帳號遭盜用。Instagram 全球每月活躍使用者將近十億,每天有超過一億張照片被分享,無論是個人或企業都透過Instagram與其追蹤者進行互動。

Check Point 研究人員於年初發現 Instagram 存在一個嚴重漏洞,攻擊者只需向使用者傳送一張惡意圖片,即可盜用其 Instagram 帳號,將手機當成間諜工具。使用者一旦儲存並在 Instagram 中打開該圖片,攻擊者便有權存取使用者的 Instagram 訊息和圖片,隨意發佈或刪除圖片,甚至還能夠駭入手機連絡人、相機和所在位置。

透過此安全漏洞,即使該指令不在應用程式邏輯或功能之內,攻擊者也可以任意操作被盜用的帳號。由於 Instagram 擁有非常廣泛的裝置存取權,一旦被入侵,攻擊者可立即將受害手機變成絕佳的間諜工具,嚴重威脅數百萬使用者的隱私。此漏洞來自於 Instagram 上傳圖片的 JPEG 格式影像解碼器開源軟體 Mozjpeg 。

Check Point 持續研究確認漏洞來源,確保社群平台的使用安全

Check Point 發現問題後立即向 Facebook 和 Instagram 揭露了此研究結果,而 Facebook 也隨即發佈了相關公告與解決建議,表示此漏洞為「整數溢位導致緩衝區溢位(Integer Overflow leading to Heap Buffer Overflow)」,並在所有平台上發佈了更新版本 。

修補程式已於這次新聞稿發佈前六個月推出,提供大多數使用者足夠時間來更新 Instagram,大幅降低了此漏洞被利用的風險。Check Point 強烈建議所有 Instagram 使用者將程式更新至最新版本,並在每次新版本推出後即時進行更新。

除此之外,Check Point 也建議使用者使用 SandBlast Mobile(SBM)來保護行動裝置上的資料。SandBlast Mobile 可提供使用者免於惡意軟體、網路釣魚、中間人攻擊和作業系統漏洞的威脅,在第一時間通知遭到攻擊的使用者。

如欲瞭解更多該研究相關資訊,點擊閱讀完整報告。 

責任編輯:Mia

延伸閱讀:




精選熱門好工作

網頁設計師(台北)

雷麒科技有限公司
桃園市.台灣

獎勵 NT$15,000

資深UX 設計師

萬欣網路科技有限公司
臺北市.台灣

獎勵 NT$15,000

資訊系統高級工程師-台北

科毅研究開發股份有限公司
新北市.台灣

獎勵 NT$15,000