▲Check Point發現Instagram安全漏洞,一張圖片就可能使帳號遭盜用。(圖/Check Point提供)
記者吳佳穎/台北報導
有研究人員於今年初發現 Instagram (IG)存在一個嚴重漏洞,攻擊者只需向使用者傳送一張惡意圖片,就可盜用其 Instagram 帳號,將手機當成間諜工具,隨意存取使用者的 Instagram 訊息和圖片、發佈或刪除圖片,甚至還能夠駭入手機連絡人、相機和所在位置。幸好今年4月左右已有修補程式解決此問題,但使用者若超過半年沒更新 IG版本,風險超高,一定要立即更新。
全球網路安全解決方案領導廠商Check Point Software Technologies Ltd.(NASDAQ股票代碼:CHKP)針對全球最受歡迎社群軟體之一的Instagram進行安全評估,結果於今年初發現一處漏洞導致使用者可能帳號遭盜用。
Check Point 研究人員表示,這個漏洞讓攻擊者只需向使用者傳送一張惡意圖片,就可盜用其IG帳號,使用者一旦儲存並在 Instagram 中打開該圖片,攻擊者便有權存取使用者的 Instagram 訊息和圖片,隨意發佈或刪除圖片,甚至還能夠駭入手機連絡人、相機和所在位置。
Check Point指出,此漏洞來自於Instagram上傳圖片的JPEG格式影像解碼器開源軟體 Mozjpeg,即使該指令不在應用程式邏輯或功能之內,攻擊者也可以任意操作被盜用的帳號。由於Instagram擁有非常廣泛的裝置存取權,一旦被入侵,攻擊者可立即將受害手機變成絕佳的間諜工具,嚴重威脅數百萬使用者的隱私。
Check Point發現問題後已向Facebook和Instagram通報,而Facebook 也發佈了相關公告與解決建議,並表示此漏洞為「整數溢位導致緩衝區溢位(Integer Overflow leading to Heap Buffer Overflow)」 ,並在所有平台上發佈了更新版本 。
Check Point表示,修補程式已於今年4月左右推出,建議若使用超過半年未更新 Instagram版本,一定要立即更新成最新版本,以大幅降低了此漏洞被利用的風險。除此之外,也建議使用者以SandBlast Mobile(SBM)來保護行動裝置上的資料。Check Point說,SandBlast Mobile可提供市面上最高的威脅偵測率,保護使用者免於惡意軟體、網路釣魚、中間人攻擊和作業系統漏洞的威脅,能夠在第一時間通知遭到攻擊的使用者。
Instagram全球每月活躍使用者將近十億,每天有超過一億張照片被分享,無論是個人或企業都透過Instagram與其追蹤者進行互動。
讀者迴響