Lỗ hổng của Instagram cho phép hacker truy cập vào điện thoại của bạn

Lỗ hổng của Instagram cho phép hacker truy cập vào điện thoại của bạn

September 25, 2020 | vietsunshine

Bạn đã bao giờ tự hỏi làm thế nào mà tin tặc có thể hack điện thoại thông minh của bạn từ xa?

Trong một báo cáo mới được chia sẻ, các nhà nghiên cứu đã tiết lộ chi tiết về một lỗ hổng nghiêm trọng trong ứng dụng Android của Instagram có thể cho phép những kẻ tấn công từ xa kiểm soát một thiết bị được nhắm mục tiêu chỉ bằng cách gửi cho nạn nhân một hình ảnh được chế tạo đặc biệt.

Điều đáng lo ngại hơn là lỗ hổng không chỉ cho phép những kẻ tấn công thực hiện các hành động thay mặt người dùng trong ứng dụng Instagram — bao gồm theo dõi tin nhắn riêng tư của nạn nhân và thậm chí xóa hoặc đăng ảnh khỏi tài khoản của họ — mà còn thực thi mã tùy ý trên thiết bị.

Theo lời khuyên do Facebook công bố, vấn đề bảo heap overflow (được theo dõi là CVE-2020-1895, điểm CVSS: 7,8) ảnh hưởng đến tất cả các phiên bản của ứng dụng Instagram trước 128.0.0.26.128, được phát hành trước ngày 10 tháng 2 năm nay.

Check Point Research cho biết:” lỗ hổng này biến thiết bị thành một công cụ để theo dõi người dùng mục tiêu mà họ không biết, cũng như cho phép thao túng độc hại đối với hồ sơ Instagram của họ. Trong cả hai trường hợp, cuộc tấn công có thể dẫn đến một cuộc xâm phạm lớn quyền riêng tư của người dùng và có thể ảnh hưởng đến danh tiếng – hoặc dẫn đến rủi ro bảo mật thậm chí còn nghiêm trọng hơn.”

Sau khi phát hiện được báo cáo cho Facebook, công ty truyền thông xã hội này đã giải quyết vấn đề này bằng một bản cập nhật vá lỗi được phát hành sáu tháng trước. Việc tiết lộ công khai đã bị trì hoãn suốt thời gian qua để cho phép phần lớn người dùng Instagram cập nhật ứng dụng, do đó giảm thiểu rủi ro mà lỗ hổng này có thể gây ra.

Mặc dù Facebook xác nhận không có dấu hiệu nào cho thấy lỗi này đã bị khai thác trên toàn cầu, nhưng sự phát triển này là một lời nhắc nhở khác về lý do tại sao cần phải cập nhật ứng dụng và lưu ý đến các quyền được cấp cho chúng.

Lỗ hổng tràn bộ nhớ đệm (Heap Overflow)

Theo Check Point, lỗ hổng làm hỏng bộ nhớ cho phép thực thi mã từ xa, chúng nhận được sự cho phép của ứng dụng Instagram để truy cập vào máy ảnh, danh bạ, GPS, thư viện ảnh và micrô của người dùng, có thể được tận dụng để thực hiện bất kỳ hành động độc hại nào trên thiết bị bị nhiễm.

Về bản thân lỗ hổng, nó bắt nguồn từ cách Instagram tích hợp MozJPEG – một thư viện mã hóa JPEG mã nguồn mở nhằm mục đích giảm băng thông và cung cấp khả năng nén tốt hơn cho hình ảnh được tải lên dịch vụ – dẫn đến tràn số nguyên khi hàm dễ bị tấn công ( “read_jpg_copy_loop”) cố gắng phân tích cú pháp một hình ảnh độc hại với kích thước được chế tạo đặc biệt.

Khi làm như vậy, kẻ thù có thể giành quyền kiểm soát kích thước bộ nhớ được cấp cho hình ảnh, độ dài dữ liệu được ghi đè, và cuối cùng và cuối cùng, nội dung của vùng bộ nhớ bị tràn, đến lượt nó cho phép kẻ tấn công có thể làm hỏng các vị trí cụ thể trong một và chuyển hướng thực thi mã.

Lỗ hổng của Instagram cho phép hacker truy cập vào điện thoại của bạn_2

Hậu quả của một lỗ hổng như vậy là hacker chỉ cần gửi  hình ảnh JPEG được chế tạo đặc biệt cho nạn nhân qua email hoặc WhatsApp. Khi người nhận lưu hình ảnh vào thiết bị và khởi chạy Instagram, việc khai thác sẽ diễn ra tự động, cấp cho kẻ tấn công toàn quyền kiểm soát ứng dụng.

Thậm chí tệ hơn, việc khai thác có thể được sử dụng để làm hỏng ứng dụng Instagram của người dùng và khiến nó không thể truy cập được trừ khi nó bị xóa và cài đặt lại trên thiết bị.

Lỗ hổng bảo mật này cho thấy việc kết hợp thư viện của bên thứ ba vào ứng dụng và dịch vụ có thể là một liên kết yếu trong vấn đề bảo mật nếu việc tích hợp không được thực hiện đúng cách.

Yaniv Balmas, người đứng đầu bộ phận nghiên cứu không gian mạng tại Check Point, đã đưa ra các mẹo an toàn sau cho người dùng điện thoại thông minh:

  • Cập nhật! Cập nhật! Cập nhật! Đảm bảo rằng bạn thường xuyên cập nhật ứng dụng di động và hệ điều hành di động của mình. Hàng chục bản vá bảo mật quan trọng đang được phát hành trong các bản cập nhật này hàng tuần và mỗi bản vá có thể có tác động nghiêm trọng đến quyền riêng tư của bạn.
  • Giám sát quyền. Chú ý kỹ hơn đến các ứng dụng xin phép. Các nhà phát triển ứng dụng sẽ dễ dàng yêu cầu người dùng cấp quyền quá mức và người dùng cũng rất dễ dàng nhấp vào ‘Cho phép’ mà không cần suy nghĩ kỹ.
  • Hãy suy nghĩ kỹ về các phê duyệt. Hãy dành vài giây để suy nghĩ trước khi bạn phê duyệt bất cứ điều gì. Hỏi: “Tôi có thực sự muốn cấp cho ứng dụng loại quyền truy cập này không, tôi có thực sự cần nó không?” nếu câu trả lời là KHÔNG, KHÔNG PHÊ DUYỆT.

Nguồn: Major Instagram App Bug Could’ve Given Hackers Remote Access to Your Phone

Tags: , ,