聲明：該文章由作者（ksbugs）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

9月24日，在與《The Hacker News》共享的一份報(bào)告中，Check Point研究人員披露了有關(guān) Instagram Android應(yīng)用程序中一個(gè)關(guān)鍵漏洞的詳細(xì)信息，該漏洞可能允許遠(yuǎn)程攻擊者僅向受害者發(fā)送特制圖像即可控制目標(biāo)設(shè)備。

更令人擔(dān)憂的是，該漏洞不僅使攻擊者可以在Instagram應(yīng)用程序中代表用戶執(zhí)行操作（包括監(jiān)視受害者的私人消息，甚至從其帳戶中刪除或發(fā)布照片），而且還可以在設(shè)備上執(zhí)行任意代碼。

根據(jù)Facebook發(fā)布的一份咨詢報(bào)告，堆溢出安全問題（CVE-2020-1895，CVSS評分：7.8）影響到了Instagram應(yīng)用程序128.0.0.26.128之前的所有版本。

Check Point Research在9月24日發(fā)表的一份分析報(bào)告中說：“這一缺陷使該設(shè)備成為了一種工具，攻擊者可以在他們不知道的情況下監(jiān)視目標(biāo)用戶，并可以惡意操縱其Instagram個(gè)人資料?！?/p>

“無論哪種情況，攻擊都可能導(dǎo)致對用戶隱私的大規(guī)模入侵，并可能影響聲譽(yù)——或者導(dǎo)致更嚴(yán)重的安全風(fēng)險(xiǎn)。

在將調(diào)查結(jié)果報(bào)告給Facebook之后，這家社交媒體公司通過六個(gè)月前發(fā)布的補(bǔ)丁程序更新解決了該問題。公開披露一直被推遲，以允許大多數(shù)Instagram用戶更新應(yīng)用程序，從而減輕此漏洞可能帶來的風(fēng)險(xiǎn)。

盡管Facebook證實(shí)，沒有跡象表明這一漏洞在全球范圍內(nèi)被利用。但這再次提醒人們，讓應(yīng)用程序保持更新并注意授予他們的權(quán)限至關(guān)重要。

堆溢出漏洞

根據(jù)Check Point的說法，內(nèi)存損壞漏洞允許遠(yuǎn)程代碼執(zhí)行，鑒于Instagram具有訪問用戶相機(jī)、聯(lián)系人、GPS、照片庫和麥克風(fēng)的廣泛權(quán)限，這些代碼可能被用來在受感染的設(shè)備上執(zhí)行任何惡意操作。

至于缺陷本身，它源于Instagram集成MozJPEG的方式，MozJPEG是一種開源JPEG編碼器庫，旨在降低帶寬，并為上傳到服務(wù)的圖像提供更好的壓縮。當(dāng)有問題的易受攻擊的函數(shù)（“read_jpg_copy_loop”）試圖使用特制的惡意圖像解析惡意圖像時(shí)，會導(dǎo)致整數(shù)溢出尺寸。

這樣，攻擊者可以獲得對分配給圖像的內(nèi)存大小，要覆蓋的數(shù)據(jù)長度以及最后的溢出內(nèi)存區(qū)域內(nèi)容的控制權(quán)，從而使攻擊者能夠破壞堆中的特定位置并轉(zhuǎn)移代碼執(zhí)行。

攻擊者只需通過電子郵件或WhatsApp將損壞的JPEG圖像發(fā)送給受害者。一旦收件人將圖像保存到設(shè)備并啟動(dòng)Instagram，攻擊就會自動(dòng)發(fā)生，從而授予攻擊者對應(yīng)用程序的完全控制權(quán)。

更糟糕的是，除非將其刪除并重新安裝在設(shè)備上，否則該漏洞可用于使用戶的Instagram應(yīng)用程序崩潰并使其無法訪問。

Check Point的Gal Elbaz說：“對公開的代碼進(jìn)行模糊處理后發(fā)現(xiàn)了一些新漏洞，這些漏洞已得到修復(fù)。” “如果付出足夠的努力，這些漏洞中的一個(gè)很可能在零點(diǎn)擊攻擊場景中被用于RCE。

“不幸的是，將來還可能會存在或?qū)⒁肫渌e(cuò)誤。因此，有必要在操作系統(tǒng)庫和第三方庫中對此和類似的媒體格式解析代碼進(jìn)行連續(xù)的模糊測試。 ”

Check Point網(wǎng)絡(luò)研究負(fù)責(zé)人Yaniv Balmas為智能手機(jī)用戶提供了以下安全提示：

更新。確保定期更新您的移動(dòng)應(yīng)用程序和移動(dòng)操作系統(tǒng)。每周都有幾十個(gè)重要的安全補(bǔ)丁在這些更新中發(fā)布，每一個(gè)都可能對你的隱私造成嚴(yán)重影響。

監(jiān)視權(quán)限。 更好地關(guān)注請求許可的應(yīng)用程序。對于應(yīng)用程序開發(fā)人員而言，向用戶請求過多的權(quán)限是毫不費(fèi)力的，而且用戶單擊“允許”也很容易，無需三思而后行。

三思而后行。 批準(zhǔn)任何內(nèi)容之前，請花幾秒鐘的時(shí)間思考。問：“我是否真的想為此應(yīng)用程序提供這種訪問權(quán)限，我真的需要嗎？” 如果答案是否定的，就不批準(zhǔn)。

?

?

稿件與封面來源：The Hacker News，譯者：芋泥啵啵奶茶。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/