第三方代码错误留下了Instagram用户,以上帐户收购风险
检查点和Facebook的安全团队突出了在Instagram照片共享平台中披露关键的远程执行(RCE)漏洞后依赖于开发过程中依赖第三方代码的危险,这可能使恶意演员接管他们的受害者的Instagram并将其设备转换为间谍工具。
分配CVE-2020-1895,Facebook将漏洞描述为整数溢出,导致堆缓冲区溢出,并在Instagram中使用的开源,一个开源,第三方JPEG解码器,以将图像上传到应用程序。它六个月前修补了,但现在只透露了足够的用户希望更新他们的应用程序来减轻其影响。
有一个Instagram用户通过电子邮件,WhatsApp或SMS发送了一个恶意图像,然后打开Instagram应用程序,触发漏洞,让攻击者完全访问受害者的消息和图像,允许它们删除或删除图像Instagram,访问手机的其他功能,包括位置数据,电话联系人和存储介质。它也可以用来崩溃受害者的Instagram安装,否认他们访问它并强制他们删除并重新安装它。
检查点的Yaniv Balmas,网络研究负责人,警告开发人员使用第三方代码库(如Mozjpeg),而不彻底检查它们的错误。他指出,虽然通过使用第三方代码来处理诸如图像和声音处理等常见任务的开发过程中常见的虽然在开发过程中节省了时间,但这些代码通常可以包含将更严重的漏洞引入最终产品的错误。
“第三方代码库可能是一个严重的威胁。我们强烈地敦促开发人员软件应用程序来验证他们使用的第三方代码库来构建其应用程序基础架构,并确保他们的集成是正确完成的,“Balmas说。
“第三方代码实际上使用了每一个应用,并且错过嵌入其中的严重威胁非常容易。今天它是Instagram,明天 - 谁知道?“他加了。
BALMAS表示,最终用户也可以通过花时间来检查其在其设备上的应用程序等应用程序的权限。虽然这可能看起来像一个负担,但它也是平均应用程序用户的最强大的防御机制之一。
“我会建议每个人都需要一分钟并思考,我真的想把这个应用程序进入我的相机,麦克风等吗?”他说。
BALMAS还敦促人们定期更新其移动应用程序和移动操作系统,指出通常在此类更新中运送严重的安全修补程序。
Facebook发言人说:“我们已经解决了这个问题,并且没有看到任何滥用的证据。我们感谢检查点的帮助保持Instagram安全。“
评论披露,ONELOGIN技术服务副主席Stuart Sharp说:“此漏洞显示我们的在线帐户的易受群体。通过允许远程访问Instagram帐户,攻击者可以为他们希望的任何目的使用此目的,包括勒索或高调或公司Instagram帐户的妥协。Instagram必须尽快工作以修补此漏洞。“
他认为,这种漏洞的披露应该提示任何服务提供者,例如Facebook,“返回绘图板”并重新考虑开发过程中的安全性。
javvad Malik,Security Ad Advocate At Thange4描述了易受敏感和令人担忧的漏洞,因为社交媒体账户可以包含多少敏感信息。
“对于这个特殊的攻击成功,需要将图片发送到目标并保存到他们的手机。因此,捍卫这一点之一是为了人们谨慎,尤其是来自未知政党的责任。他说,杰夫贝斯的手机也受到损害,因为通过Whatsapp接收恶意软件系数视频,“他说。
“用户还可以禁用自动保存通过社交媒体(如WhatsApp)接收的图像的保存。对于使用Instagram或其他社交媒体以专业能力使用Instagram或其他社交媒体的品牌经理,值得考虑使用单独的工作和个人社交媒体使用。这将不仅适用于影响者和名人自己,也适用于任何支持他们并获得他们的账户的工作人员,“加入了马利克。
检查点的研究团队在CVE-2020-1895在线发布了完整的技术细节。他们注意到Instagram Bug可能是“冰山一角”它来到Mozjpeg时。
“基于Mozilla的项目仍然广泛应用于Web上的许多其他项目,特别是Firefox,它也被广泛用作不同流行的开源项目的一部分AssharpandlibvipsProject,”检查点的研究人员表示。