#InstaHack:研究人員如何利用惡意圖像成功接管 Instagram 應用程式
Instagram 是全球最受歡迎的社交媒體平台之一,每月活躍用户近十億,每日上傳上億張照片。個人和公司用戶與全球追蹤者分享有關其生活和產品的照片和消息。試想一下,如果黑客能夠完全控制 Instagram 帳戶,並瀏覽這些帳戶中的所有消息和照片、發布新照片或者刪除或處理現有照片,將會發生什麼?這又會對個人或公司的聲譽造成什麼影響?
今年稍早時候,Check Point 研究人員發現 Instagram 應用程式存在一個高危漏洞,藉著該漏洞,攻擊者只需向受害者發送一個惡意圖像文件,即可控制其 Instagram 帳戶,並將其手機變成間諜工具。用戶一旦儲存並在 Instagram 應用程式中打開該圖像,黑客便能夠完全瀏覽受害者的 Instagram 消息和圖像,隨意發布或刪除圖像,甚至還可以瀏覽手機聯絡人、相機和位置數據。
以下介紹了我們如何發現該漏洞並與 Facebook 和 Instagram 合作修復漏洞,從而確保用戶安全。
手機應用程式有哪些權限?
為了與家人、朋友和同事保持聯繫,我們通常會隨身攜帶手機。當然,也正是由於這個原因,手機成為黑客眼中一個極具吸引力的目標。他們不僅可以從我們的手機中竊取數據和憑證,而且還可以使用手機來監察我們,包括跟蹤我們的位置、竊聽對話以及瀏覽我們的數據和訊息。
幸運的是,所有現代流動操作系統都針對這種惡意活動提供了多層防護措施。這些防護措施通常都按照「應用程式隔離」這個基本原則,這意味著即便黑客攻破了某個應用程式,也只能入侵該應用程式,嚴格的權限管理可防止黑客進一步擴大攻擊範圍。
這裏特別解釋下「嚴格的權限管理」,舉例來說,地圖應用程式應能夠瀏覽你的位置,但不能進入你的麥克風;交友軟件應能夠進入你的相機,但不能瀏覽其他訊息。
但如果某個應用程式擁有廣泛的設備權限,將會怎樣?一旦該應用程式遭到攻擊,黑客將能夠輕鬆瀏覽和進入你的 GPS 數據、相機、麥克風、通訊錄等。
慶幸的是,用戶設備上只有少量應用程式擁有如此廣泛的權限。Instagram 便是其中的一個。考慮到 Instagram 的流行性和所擁有的廣泛權限,我們決定對其面向 Android 和 iOS 操作系統的流動應用程式進行安全審查。
審查結果
我們通過研究發現了一個重大漏洞,該漏洞可允許攻擊者遠程執行代碼 (RCE)(一個技術名詞)。藉此漏洞,攻擊者可以在 Instagram 應用程式中隨意執行任何操作(即使該操作不在應用程式邏輯或功能範圍之內)。由於 Instagram 應用程式具有非常廣泛的權限,一旦被攻擊者入侵,攻擊者可立即將目標手機變成完美的間諜工具,這對數百萬用戶的私隱構成了嚴重威脅。
研究方法
開發人員在開發這款熱門應用程式時投入了大量時間和資源,怎麼還會出現漏洞呢?
原因在於大多數現代應用程式開發人員實際上並不會親自編寫整個應用程式。編寫整個應用程式需要幾年的時間才能完成,因此他們都使用第三方數據庫來處理常見(且通常複雜)的任務,例如圖像處理、聲音處理、網絡連接等。這可以讓開發人員集中精力處理應用程式的核心業務邏輯:編碼任務。但這樣做的前提是第三方數據庫完全可信和安全。
有鑑於此,我們決定對 Instagram 使用的第三方數據庫進行審查,
並最終發現問題出在 Instagram使用 Mozjpeg 的方式上。Mozjpeg 是一個開源項目,被 Instagram 用作 JPEG 格式圖像解碼器來解碼上傳到該服務的圖像。
惡意圖像:入侵並接管用戶的Instagram 帳戶
在我們研究的攻擊情形中,攻擊者只需通過電子郵件、WhatsApp 或其他媒體平台向目標受害者發送一張圖像。目標用戶將圖像儲存在手機上後,一旦打開 Instagram 應用程式,帳戶即被攻陷,攻擊者將能夠完全有Instagram瀏覽權限的手機中任何手機資源, 包括通訊錄、設備儲存、位置服務和裝置攝影機。事實上,攻擊者可以完全控制該應用程式,並且可以代表用戶進行操作,包括讀取其 Instagram 帳戶中的所有個人消息以及隨意刪除或發布照片。攻擊者可利用用戶設備在目標用戶毫不知情的情況下對其進行監視,並對其 Instagram 的個人資料進行惡意操作。無論哪種情況,都會造成大規模用戶私隱洩漏,並可能影響聲譽或帶來更嚴重的安全風險。
基本上,攻擊者可利用此漏洞致使用戶的 Instagram 應用程式崩潰,即拒絕用戶瀏覽該應用程式,用戶只有卸載重裝後才能進入。這不僅給用戶帶來了不便,還可造成潛在的數據遺失。
負責任披露與保護
我們已經負責任地向 Facebook 和 Instagram 團隊披露了我們的調查結果。Facebook 很快發布了相關公告,並提供了解決建議,他們將此漏洞描述為「整數溢出導致堆緩衝區溢出」,並發布了一個補丁來幫助修復所有平台上新版 Instagram 應用程式中的這一問題。
該漏洞的補丁已於本文發布前六個月推出,通過為大多數用戶提供時間來更新其 Instagram 應用程式,大幅降低了此漏洞被利用的風險。我們強烈建議所有 Instagram 用戶使用最新版本的 Instagram 應用程式,在新版本推出後及時進行更新。
Check Point 的 SandBlast Mobile (SBM) 具有高級威脅防禦功能,提供對流動風險的全面可視性。SandBlast Mobile 具有市場上最高的威脅捕獲率,可幫助用戶抵禦惡意軟件、網絡釣魚、中間人攻擊和操作系統漏洞利用等威脅。 SandBlast Mobile 直觀易用,能夠第一時間通知遭到攻擊的用戶。
如欲閱讀本研究的全部技術細節,請點擊此處。
發表迴響