Lỗ hổng trên Instagram cho phép theo dõi người dùng

Mới đây, các chuyên gia tại Check Point (công ty đa quốc gia chuyên cung cấp các dịch vụ bảo mật thông tin cho người dùng) đã phát hiện ra một lỗ hổng nghiêm trọng trong ứng dụng Instagram. Điều này sẽ cho phép những kẻ tấn công truy cập thông tin đăng nhập, danh bạ điện thoại và vị trí của người dùng.

Theo các nhà nghiên cứu bảo mật tại Check Point, có một lỗ hổng thực thi mã từ xa (RCE) khiến cho quyền riêng tư của khoảng 1 tỷ người dùng Instagram gặp nguy hiểm. Nó có thể cho phép tin tặc tấn công vào tài khoản Instagram của các nạn nhân và sử dụng thiết bị của họ như một công cụ gián điệp.

Chỉ bằng một bức ảnh độc hại, tin tặc có thể toàn quyền kiểm soát tài khoản Instagram của người dùng. “Khi hình ảnh được lưu và mở trên ứng dụng Instagram, việc khai thác sẽ cung cấp cho hacker toàn quyền truy cập vào các tin nhắn và hình ảnh trên Instagram của  người dùng, cho phép họ đăng hoặc xóa hình ảnh theo ý muốn, cũng như cấp quyền truy cập vào danh bạ điện thoại, camera và dữ liệu vị trí,” các nhà nghiên cứu tại Check Point cho hay.

Cũng theo các nhà nghiên cứu, một trong những thư viện của bên thứ 3 được ứng dụng Instagram sử dụng được xem là nguyên nhân gây ra sự cố này. Cụ thể, lỗ hổng bảo mật nằm ở Mozjpeg, một thư viện mã hóa hình ảnh của bên thứ 3 mà Instagram dùng để tải hình ảnh. Tất cả những gì kẻ tấn công cần làm chỉ là gửi đi một hình ảnh độc hại cho nạn nhân mục tiêu qua email, WhatsApp, SMS hoặc một nền tảng tin nhắn bất kỳ nào khác. Kết quả là, khi người dùng lưu hình ảnh trên thiết bị di động và mở ứng dụng Instagram, một tập lệnh sẽ chạy tự động và cấp cho tin tặc toàn quyền truy cập vào bất kỳ tài nguyên nào được liên kết với Instagram.

“Lỗ hổng này đã vô tình biến điện thoại trở thành một công cụ nguy hiểm giúp tin tặc theo dõi người dùng mà họ không hay biết. Nó còn tiếp tay cho chúng thực hiện những hành vi thao túng độc hại trên chính tài khoản Instagram của nạn nhân,” Check Point cho biết trong một bài phân tích. “Dù rơi vào trường hợp nào thì người dùng cũng đều phải đối mặt với nguy cơ bị xâm phạm quyền riêng tư, ảnh hưởng đến danh tiếng, thậm chí phải đối mặt với các rủi ro bảo mật nghiêm trọng khác.”

Điều này có nghĩa là lỗ hổng trên không chỉ cho phép những kẻ tấn công thực hiện các hành vi thay mặt người dùng trong ứng dụng Instagram, mà còn có thể thực thi mã tùy ý trên thiết bị. Cách khai thác này cũng có thể được sử dụng để làm hỏng ứng dụng Instagram của người dùng, khiến cho họ không thể truy cập vào nền tảng chia sẻ hình ảnh cho đến khi họ gỡ cài đặt ứng dụng và cài lại.

Facebook, chủ sở hữu của Instagram đã thừa nhận lỗ hổng này và gọi nó này là “tình trạng tràn bộ nhớ đệm”. Lỗ hổng bảo mật trên cho thấy việc kết hợp thư viện của bên thứ 3 vào ứng dụng có thể là một liên kết rất yếu trong vấn đề bảo mật.

Các chuyên gia cảnh báo rằng có khả năng vẫn còn một số lỗ hổng khác chưa được công bố hoặc sẽ xuất hiện trong tương lai. Họ khuyên người dùng nên cập nhật ứng dụng di động và hệ điều hành thường xuyên, đồng thời đặc biệt chú ý đến các ứng dụng yêu cầu quyền truy cập.

“Người dùng nên cẩn thận về quyền truy cập mà họ cấp cho các ứng dụng. Tôi khuyên bạn nên suy nghĩ thận trọng trước khi đồng ý cho ứng dụng truy cập vào các chức năng hoặc dữ liệu nào đó trên thiết bị, bởi điều này có thể bảo vệ bạn khỏi các cuộc tấn công tiềm ẩn,” ông Yaniv Balmas, người đứng đầu bộ phận nghiên cứu không gian mạng tại công ty Check Point cho biết.

Phan Anh (tổng hợp)

Xem thêm: