【震撼彈】一張相攻破IG iOS!Android手機淪為監察工具
千萬不要低估一張相的威力,原來早在今年春季之前,Instagram用家的手機,只要經任何途徑例如電郵、社交平台、即時通訊程式收到一張「加工」相片,不單只可以被奪取帳戶,更可控制你的手機成為監察工具,而且iOS及Android裝置同樣受影響,認真脆弱。
先旨聲明, Facebook 在收到及確認 Check Point 專家 Gal Elbaz 的發現後,已經在今年春季為Instagram推出修補檔案,所以現時大家已不會再因這漏洞遭殃。而出事原因,在於 Instagram 採用的第三方 JPEG 解碼器 Mozjpeg 存有緩衝區溢出(heap buffer overflow)漏洞,當手機相簿內儲存了黑客的特製相片, Instagram 用家又準備上載新相而於 app 內打開相簿時,解碼器便會自動讀取這張惡意相片並進行編譯。由於這張特製相片可令 Mozjpeg 誤以為檔案容量較真實小,以至在匯入後才發現 Input data 較預設的記憶體緩衝區大,從而造成程式癱瘓,停頓過程中更可讓黑客改變執行流程,達成遙距執行程式碼(RCE)的目的。
一旦中招,用家便無法啟動 Instagram ,直至移除有問題相片及重新安裝 Instagram 後才可使用。另一方面,當黑客奪取 Instagram 控制權,亦因它本身已獲取大量手機功能權限,例如聯絡人、相機、收音咪、地理位置、儲存設備等,所以黑客亦可使用這些權限,偷取機主的個人私隱,甚至暗中打開相機或收音咪進行監聽。
事實上,不少手機 app 都有用到類似功能,特別是社交平台應用程式就經常會在讀取手機相簿時重新為圖像編碼,而且亦會用到第三方的解碼程式。幸好今次 Check Point 的研究團隊搶先發現這一漏洞並通知 Facebook ,才能在被黑客利用前加以修補,而專家亦指截至現時此,並未發現有黑客曾發動攻擊,大家可以放心。
