Check Point发现Instagram安全漏洞

Check Point Software Technologies Ltd.近期针对全球最受欢迎社群软件之一的Instagram进行安全评估，发现其中有一处漏洞可能导致使用者帐号遭盗用。Instagram全球每月活跃使用者将近十亿，每天有超过一亿张照片被分享，无论是个人或企业都透过Instagram与其追踪者进行互动。

Check Point研究人员于年初发现Instagram存在一个严重漏洞，攻击者只需向使用者传送一张恶意图片，即可盗用其Instagram帐号，将手机当成间谍工具。使用者一旦储存并在Instagram中打开该图片，攻击者便有权存取使用者的Instagram信息和图片，随意发布或删除图片，甚至还能够骇入手机连络人、镜头和所在位置。

透过此安全漏洞，即使该指令不在应用程序逻辑或功能之内，攻击者也可以任意操作被盗用的帐号。由于Instagram拥有非常广泛的装置存取权，一旦被入侵，攻击者可立即将受害手机变成绝佳的间谍工具，严重威胁数百万使用者的隐私。此漏洞来自于Instagram上传图片的JPEG 格式影像解码器开源软件Mozjpeg 。

Check Point发现问题后立即向Facebook和Instagram揭露了此研究结果，而Facebook也随即发布了相关公告与解决建议，表示此漏洞为「整数溢位导致缓冲区溢位(Integer Overflow leading to Heap Buffer Overflow)」，并在所有平台上发布了更新版本 。

修补程序已于这次新闻稿发布前六个月推出，提供大多数使用者足够时间来更新Instagram，大幅降低了此漏洞被利用的风险。Check Point强烈建议所有Instagram使用者将程序更新至最新版本，并在每次新版本推出后实时进行更新。

除此之外，Check Point也建议使用者使用SandBlast Mobile(SBM)来保护移动设备上的数据。SandBlast Mobile可提供市面上最高的威胁侦测率，保护使用者免于恶意软件、网络钓鱼、中间人攻击和操作系统漏洞的威胁。SandBlast Mobile直观易用，能够在第一时间通知遭到攻击的使用者。