Instagram漏洞！ 一张图片就能让帐号被盗

Instagram漏洞！ 一张图片就能让帐号被盗(示意图/shutterstock达志影像)

网路安全解决方案厂商CheckPoint指出，近期针对社群软体Instagram进行安全评估，发现其中有一处漏洞可能导致使用者帐号遭盗用，攻击者只需向使用者传送一张恶意图片，即可盗用其Instagram帐号，将手机当成间谍工具。Check Point建议，所有Instagram使用者将程式更新至最新版本，并在每次新版本推出后即时进行更新。

Instagram全球每月活跃使用者将近十亿，每天有超过一亿张照片被分享，无论是个人或企业都透过Instagram与其追踪者进行互动，是全球最受到欢迎的社群软体之一。

CheckPoint指出，攻击者只需向使用者传送一张恶意图片，即可盗用其IG帐号，将手机当成间谍工具。使用者一旦储存并在IG中打开该图片，攻击者便有权存取使用者的IG讯息和图片，随意发布或删除图片，甚至还能够骇入手机连络人、相机和所在位置。

透过此安全漏洞，即使该指令不在应用程式逻辑或功能之内，攻击者也可以任意操作被盗用的帐号。由于Instagram拥有非常广泛的装置存取权，一旦被入侵，攻击者可立即将受害手机变成绝佳的间谍工具，严重威胁数百万使用者的隐私。此漏洞来自于Instagram上传图片的JPEG格式影像解码器开源软体Mozjpeg。

Check Point持续研究确认漏洞来源，确保社群平台的使用安全Check Point发现问题后立即向Facebook和Instagram揭露了此研究结果，而Facebook也随即发布了相关公告与解决建议，表示此漏洞为「整数溢位导致缓冲区溢位（Integer Overflow leading to Heap Buffer Overflow）」，并在所有平台上发布了更新版本。

除此之外，Check Point也建议使用者使用SandBlast Mobile（SBM）来保护行动装置上的资料。SandBlast Mobile可提供市面上最高的威胁侦测率，保护使用者免于恶意软体、网路钓鱼、中间人攻击和作业系统漏洞的威胁。