Instagram漏洞可能允许恶意参与者劫持用户帐户

Facebook Inc.已修复其照片共享应用Instagram中的一个漏洞，该漏洞可能允许黑客通过恶意图像来接管用户帐户。

该漏洞 由Check Point Software Technologies Ltd.的研究人员今天发现并发布，涉及远程代码执行黑客。该漏洞将使攻击者可以通过共享研究人员所描述的“不良形象”来执行他们希望采取的任何行动。

在这种情况下，不良图像是指通过电子邮件或包含恶意代码的消息传递服务发送给Instagram用户的不良图像。它将使黑客能够访问Instagram应用程序，包括Instagram允许的手机中的任何资源。

由于Instagram通常可以访问一系列电话权限，包括联系人，设备存储，位置服务和设备摄像头，因此该漏洞利用还可能进一步发展。

该漏洞不是直接存在于Instagram本身，而是通过Instagram使用的第三方开源软件-特别是Mozjpeg，该项目被Instagram用作JPEF格式图像解码器，用于上传到服务的图像。

该漏洞的修补程序于2月发布，由于负责任的漏洞披露准则，Check Point仅在现在才公开详细信息。

DevOps自动化公司Sonatype Inc.的副总裁兼DevOps倡导者Derek Weeks 告诉SiliconANGLE ，“开源组件占所有现代应用程序的90%，并非所有组件都是平等的。” 根据开发语言的不同，多达10%到40%的用户知道其中的安全漏洞。Instagram，Firefox和其他流行应用程序中使用的Mozjpeg开源组件现在是那些已知的易受攻击的组件之一。”

他补充说，一个问题是，可能有成千上万的其他公司在使用易受攻击的Mozjpeg组件版本。他说：“现在比赛开始了。” “企业开发和安全团队必须快速确定他们是否以及在哪里使用过Mozjpeg，而对手则竞相发现现在易受攻击的组件在应用程序中的位置。配备了每个应用程序的软件物料清单的企业团队在这场比赛中处于领先地位。”

安全内容捕获公司Inkscreen LLC的创始人兼首席执行官乔什·布尔斯(Josh Bohls)着眼于该漏洞可能带来的更广阔的前景，指出Instagram漏洞突出表明了移动设备上的照片和视频被低估了。

他说：“我们最近在Whatsapp上分享了一段令人震惊的视频，导致Jeff Bezos手机遭到黑客入侵，现在我们了解到，将JPG照片保存到您的移动设备中可能会导致您的Instagram帐户被完全收购。” “很明显，个人，公司和政府组织需要对移动设备上的多媒体内容更加谨慎。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！