29/09/2020 16:06  

Theo các nhà nghiên cứu bảo mật của Check Point thì có một “lỗ hổng nghiêm trọng”, lỗ hổng thực thi mã từ xa (RCE) khiến quyền riêng tư của hàng triệu người dùng Instagram gặp nguy hiểm, có khả năng cho phép tin tặc tấn công vào tài khoản Instagram của các nạn nhân. Sau khi bị khai thác, lỗ hổng có thể cho phép tin tặc sử dụng thiết bị của nạn nhân như một công cụ gián điệp.
Chỉ với một bức ảnh độc hại có thể mở cánh cửa cho tin tặc kiểm soát toàn quyền tài khoản, cụ thể về cuộc tấn công này được các nhà nghiên cứu phát biểu: “Khi hình ảnh được lưu và mở trong ứng dụng Instagram, việc khai thác sẽ cung cấp cho hacker toàn quyền truy cập vào các tin nhắn và hình ảnh trên Instagram của nạn nhân, cho phép họ đăng hoặc xóa hình ảnh theo ý muốn, cũng như cấp quyền truy cập vào danh bạ điện thoại, camera và dữ liệu vị trí”.
Theo các nhà nghiên cứu, một trong những thư viện của bên thứ ba được ứng dụng Instagram sử dụng là nguyên nhân gây ra vụ tấn công này. Cụ thể lỗ hổng trong cách Instagram sử dụng thư viện bộ giải mã hình ảnh của bên thứ ba có tên Mozjpeg cho phép những kẻ tấn công kiểm soát tài khoản Instagram của nạn nhân. Tất cả những gì kẻ tấn công cần làm là gửi một hình ảnh độc hại cho nạn nhân mục tiêu của chúng qua email, WhatsApp hoặc một nền tảng nhắn tin bất kỳ nào khác. Khi người dùng mục tiêu lưu hình ảnh trên thiết bị di động của họ và mở ứng dụng Instagram, một tập lệnh sẽ chạy, cho phép kẻ tấn công truy cập đầy đủ vào bất kỳ tài nguyên nào được liên kết với Instagram.
Cách khai thác như vậy cũng có thể được sử dụng để làm hỏng ứng dụng Instagram của người dùng và từ chối họ truy cập vào ứng dụng cho đến khi họ gỡ cài đặt ứng dụng khỏi thiết bị của mình và cài đặt lại. Instagram có hơn 100 triệu bức ảnh được tải lên mỗi ngày. Dịch vụ do Facebook sở hữu cũng có gần 1 tỉ người dùng hoạt động hằng tháng.




Bài viết liên quan