주요 Instagram 앱 버그로 인해 해커가 휴대폰에 원격 액세스 할 수있었습니다.
해커가 원격으로 스마트 폰을 해킹 할 수있는 방법이 궁금하십니까?
오늘 The Hacker News와 공유 한 보고서에서 Check Point 연구원 은 Instagram의 Android 앱의 치명적인 취약성 에 대한 세부 정보를 공개했습니다. 이로 인해 원격 공격자가 피해자에게 특수 제작 된 이미지를 전송하여 대상 장치를 제어 할 수있었습니다.
더 걱정스러운 점은이 결함으로 인해 공격자가 Instagram 앱 내에서 사용자를 대신하여 피해자의 개인 메시지를 감시하고 심지어 계정에서 사진을 삭제하거나 게시하는 등의 작업을 수행 할 수있을뿐만 아니라 장치에서 임의의 코드를 실행할 수도 있다는 것입니다.
Facebook에서 게시 한 권고 에 따르면 힙 오버플로 보안 문제 ( CVE-2020-1895 , CVSS 점수 : 7.8로 추적 됨 )는 이보다 앞서 2 월 10 일에 출시 된 128.0.0.26.128 이전의 모든 버전의 Instagram 앱에 영향을 미칩니다.
Check Point Research는 오늘 발표 된 분석 에서 "이 [결함]은 장치를 대상 사용자가 알지 못하는 사이에 대상 사용자를 감시하고 Instagram 프로필을 악의적으로 조작 할 수있는 도구로 전환합니다 .
"두 경우 모두 공격은 사용자의 개인 정보를 대량으로 침해하고 평판에 영향을 미치거나 훨씬 더 심각한 보안 위험을 초래할 수 있습니다."
조사 결과가 Facebook에보고 된 후 소셜 미디어 회사는 6 개월 전에 발표 된 패치 업데이트를 통해 문제를 해결했습니다. 인스 타 그램 사용자 대부분이 앱을 업데이트 할 수 있도록 공개 공개가 연기되어이 취약점으로 인한 위험을 완화했습니다.
페이스 북은이 버그가 전 세계적으로 악용되었다는 징후가 없다고 확인했지만,이 개발은 앱을 최신 상태로 유지하고 앱에 부여 된 권한을 염두에 두어야하는 이유를 다시 한번 상기시켜줍니다.
힙 오버플로 취약점
체크 포인트에 따르면 메모리 손상 취약점은 인스 타 그램이 사용자의 카메라, 연락처, GPS, 사진 라이브러리 및 마이크에 액세스 할 수있는 광범위한 권한이 주어지면 감염된 장치에서 악의적 인 작업을 수행하는 데 활용 될 수있는 원격 코드 실행을 허용합니다.
결함 자체는 인스 타 그램이 MozJPEG를 통합 한 방식에서 기인 합니다. 이는 대역폭을 낮추고 서비스에 업로드 된 이미지에 대해 더 나은 압축을 제공하는 것을 목표로하는 오픈 소스 JPEG 인코더 라이브러리입니다. 이로 인해 취약한 기능이 문제가 될 때 정수 오버플로가 발생합니다 ( "read_jpg_copy_loop")는 특수 제작 된 차원으로 악성 이미지를 구문 분석하려고합니다.
그렇게함으로써 공격자는 이미지에 할당 된 메모리의 크기, 덮어 쓸 데이터의 길이, 그리고 마지막으로 오버플로 된 메모리 영역의 내용을 제어 할 수 있으며, 차례로 공격자가 특정 항목을 손상시킬 수있는 능력을 부여 할 수 있습니다. 힙의 위치 및 코드 실행을 전환합니다.
이러한 취약점의 결과로 악의적 인 행위자가해야 할 일은 이메일이나 WhatsApp을 통해 손상된 JPEG 이미지를 피해자에게 보내는 것입니다. 수신자가 이미지를 기기에 저장하고 Instagram을 실행하면 공격자가 자동으로 앱에 대한 모든 권한을 부여합니다.
더 나쁜 것은 익스플로잇을 사용하여 사용자의 Instagram 앱을 충돌시키고 장치에서 제거하고 다시 설치하지 않는 한 액세스 할 수 없도록 만들 수 있습니다.
이 취약점은 타사 라이브러리를 앱과 서비스에 통합하는 것이 제대로 통합되지 않은 경우 보안을위한 취약한 링크가 될 수 있음을 나타냅니다.
Check Point의 Gal Elbaz는 "노출 된 코드를 통합하면 몇 가지 새로운 취약점이 발견되어 수정되었습니다."라고 말했습니다. "충분한 노력을 기울이면 제로 클릭 공격 시나리오에서 이러한 취약점 중 하나가 RCE에 악용 될 수 있습니다.
"안타깝게도 다른 버그가 남아 있거나 앞으로 도입 될 가능성도 있습니다. 따라서 운영 체제 라이브러리와 타사 라이브러리 모두에서이 코드와 유사한 미디어 형식 구문 분석 코드에 대한 지속적인 퍼즈 테스트가 절대적으로 필요합니다. "
Check Point의 사이버 연구 책임자 인 Yaniv Balmas는 스마트 폰 사용자를 위해 다음과 같은 안전 팁을 제공했습니다.