Các nhà nghiên cứu của Check Point vừa công bố một lỗ hổng nghiêm trọng trong ứng dụng Instagram phiên bản Android, cho phép tin tặc truy cập và chiếm quyền kiểm soát thiết bị từ xa chỉ bằng cách gửi cho nạn nhân một hình ảnh độc hại.
Cuộc tấn công sẽ được kích hoạt thành công khi tin tặc gửi bức ảnh qua email, WhatsApp, SMS hoặc bất kỳ nền tảng truyền thông nào khác, sau đó được người dùng lưu vào thiết bị. Khai thác lỗ hổng này, kẻ tấn công có thể tự ý thay nạn nhân thực hiện bất kỳ tác vụ nào Instagram như: đăng hình ảnh, xóa và theo dõi tin nhắn riêng tư của họ. Đáng lo hơn, tin tặc còn có thể thực thi mã tùy ý trên thiết bị.
Theo Facebook, lỗi tràn vùng nhớ heap (heap overflow) (mã theo dõi là CVE-2020-1895, chuẩn định mức nghiêm trọng CVSS: 7,8) ảnh hưởng đến tất cả ứng dụng Instagram trước phiên bản 128.0.0.26.128, phát hành ngày 10/2 năm nay. Nếu vẫn còn sử dụng những phiên bản này, bạn nên nhanh chóng cập nhật phần mềm.
Theo các chuyên gia, lỗ hổng không chỉ biến thiết bị thành công cụ theo dõi người dùng mà họ không hề hay biết, đồng thời còn cho phép tin tặc thao túng tài khoản Instagram của nạn nhân. Ở cả hai trường hợp, người dùng đều bị xâm phạm nghiêm trọng đến quyền riêng tư, ảnh hưởng đến danh tiếng của họ hoặc khiến phát sinh những rủi ro bảo mật khác.
Sau khi Check Point báo cáo cho Facebook, 6 tháng trước công ty truyền thông xã hội đã phát hành bản cập nhật mới khắc phục sự cố. Việc công khai lỗ hổng bị trì hoãn đến hôm nay là để người dùng Instagram có thời gian cập nhật ứng dụng, giảm thiểu rủi ro mà lỗ hổng gây ra.
Dù Facebook xác nhận không có dấu hiệu nào cho thấy lỗ hổng bị khai thác trên thực tế, nhưng đây vẫn là một lời cảnh báo mọi người nên thường xuyên cập nhật phần mềm và lưu ý đến việc cấp quyền cho ứng dụng.
Lỗ hổng tràn vùng nhớ heap (heap overflow)
Theo Check Point, lỗ hổng có thể làm hỏng bộ nhớ cho phép thực thi mã từ xa. Nếu Instagram được cấp quyền truy cập vào máy ảnh, danh bạ, GPS, thư viện ảnh và microphone của người dùng thì tin tặc có thể được lợi dụng điều này để xâm nhập và thực hiện hành vi bất lợi cho người dùng.
Lỗ hổng bắt nguồn từ cách Instagram xử lý các thư viện của bên thứ ba được sử dụng để xử lý hình ảnh. Đặc biệt, Check Point tập trung vào MozJPEG – thư viện mã hóa JPEG mã nguồn mở được phát triển bởi Mozilla, nhằm giảm băng thông và cung cấp khả năng nén hình ảnh tải lên dịch vụ tốt hơn. Instagram đã sử dụng không đúng cách xử lý các hình ảnh tải lên dẫn đến tình trạng tràn số nguyên (integer overflow), ứng dụng dễ bị đánh lừa.
Nhờ vào đó, tin tặc có thể giành quyền kiểm soát kích thước bộ nhớ cấp cho hình ảnh, độ dài dữ liệu được ghi đè và nội dung vùng bộ nhớ bị tràn, từ đó có quyền phá hỏng từng vị trí cụ thể trong vùng heap và chuyển hướng thực thi mã.
Việc khai thác có thể làm hỏng ứng dụng Instagram, khiến người dùng không thể truy cập được, trừ khi xóa và cài đặt lại. Lỗ hổng bảo mật cho thấy nếu không kết hợp đúng cách thư viện của bên thứ ba vào các ứng dụng thì tin tặc dễ có cơ hội tấn công vào mối liên kết vốn rất yếu này.
Sử dụng kỹ thuật Fuzzing để kiểm tra phần mã bị lộ, các chuyên gia phát hiện một số lỗ hổng mới nhưng đã được khắc phục. Dù vậy, nếu tin tặc liên tục dùng nhiều biện pháp tấn công, có thể một trong những lỗ hổng này sẽ bị khai thác thực thi mã từ xa, tấn công không cần nhấp chuột.
Các chuyên gia cảnh báo có khả năng vẫn còn một số lỗ hổng khác chưa được công bố hoặc sẽ xuất hiện trong tương lai. Vì vậy, việc tiếp tục sử dụng kỹ thuật fuzzing để kiểm tra mã phân tích ứng dụng, cả trong thư viện hệ điều hành và thư viện bên thứ ba, là điều hoàn toàn cần thiết.
Để đảm bảo an toàn cho thiết bị, người dùng nên:
- Đảm bảo thường xuyên cập nhật ứng dụng và hệ điều hành di động.
- Xem xét kỹ việc cấp quyền cho ứng dụng. Một số phát triển thường yêu cầu cấp quyền quá mức cho ứng dụng nhưng người dùng lại không lưu tâm, dễ nhấp chọn ‘Cho phép’ mà không cần suy nghĩ.
- Suy nghĩ trước khi phê duyệt. Hãy dành vài giây để suy nghĩ trước khi duyệt bất cứ yêu cầu nào. Bạn nên tự hỏi bản thân “Liệu có nên cấp cho ứng dụng quyền truy cập này không? Tôi có thực sự cần nó không?” Nếu câu trả lời là không thì đừng phê duyệt để tránh những rủi ro không đáng có.