Instagram漏洞! 一張圖片就能讓帳號被盜
Instagram漏洞! 一張圖片就能讓帳號被盜(示意圖/shutterstock達志影像)
網路安全解決方案廠商CheckPoint指出,近期針對社羣軟體Instagram進行安全評估,發現其中有一處漏洞可能導致使用者帳號遭盜用,攻擊者只需向使用者傳送一張惡意圖片,即可盜用其Instagram帳號,將手機當成間諜工具。Check Point建議,所有Instagram使用者將程式更新至最新版本,並在每次新版本推出後即時進行更新。
Instagram全球每月活躍使用者將近十億,每天有超過一億張照片被分享,無論是個人或企業都透過Instagram與其追蹤者進行互動,是全球最受到歡迎的社羣軟體之一。
CheckPoint指出,攻擊者只需向使用者傳送一張惡意圖片,即可盜用其IG帳號,將手機當成間諜工具。使用者一旦儲存並在IG中打開該圖片,攻擊者便有權存取使用者的IG訊息和圖片,隨意發佈或刪除圖片,甚至還能夠駭入手機連絡人、相機和所在位置。
透過此安全漏洞,即使該指令不在應用程式邏輯或功能之內,攻擊者也可以任意操作被盜用的帳號。由於Instagram擁有非常廣泛的裝置存取權,一旦被入侵,攻擊者可立即將受害手機變成絕佳的間諜工具,嚴重威脅數百萬使用者的隱私。此漏洞來自於Instagram上傳圖片的JPEG格式影像解碼器開源軟體Mozjpeg。
Check Point持續研究確認漏洞來源,確保社羣平臺的使用安全Check Point發現問題後立即向Facebook和Instagram揭露了此研究結果,而Facebook也隨即發佈了相關公告與解決建議,表示此漏洞爲「整數溢位導致緩衝區溢位(Integer Overflow leading to Heap Buffer Overflow)」,並在所有平臺上發佈了更新版本。
除此之外,Check Point也建議使用者使用SandBlast Mobile(SBM)來保護行動裝置上的資料。SandBlast Mobile可提供市面上最高的威脅偵測率,保護使用者免於惡意軟體、網路釣魚、中間人攻擊和作業系統漏洞的威脅。