アンバー・ニーリー
· 1分で読めます
このバグにより、悪意のある人物が悪意のあるコードを含んだ写真を送信し、ユーザーのスマートフォンを乗っ取ることが可能になった。
この脆弱性は4月にCheck Point Securityによって発見されました。Facebookは、この脆弱性を修正し、誰もこの脆弱性を悪用していないと主張しています。Instagramをまだアップデートしていないユーザーは、安全のためにアップデートすることを強くお勧めします。
この事件が特に注目されたのは、ハッカーが iPhone などのユーザーの個人用デバイスをいかに簡単に乗っ取ることができるかを浮き彫りにした点です。
ハッカーは、悪意のあるコードが埋め込まれた画像を、電子メール、または Facebook Messenger や WhatsApp などのメッセージング サービスを通じて潜在的な被害者に送信するだけで済みます。
写真がユーザーのデバイスに保存され(WhatsAppはデフォルトで自動的に保存する機能です)、ユーザーがInstagramを開いた場合、ハッカーはユーザーのInstagramアカウントを完全に制御できるようになります。さらに、この脆弱性を利用して、ユーザーのカメラとマイクを遠隔操作することも可能になります。
この脆弱性は、特にデバイスのカメラやマイクを制御できるアプリなど、アプリがどのような権限を持っているかを定期的に確認するようユーザーに注意喚起するものだ。
「デバイス上でアプリケーションが持つ権限を一つ一つ精査するには、時間をかけて確認する必要があります。『アプリケーションが権限を求めています』というメッセージは煩わしく感じられ、『はい』をクリックして忘れてしまうのは簡単です」と、チェック・ポイントのサイバーリサーチ責任者であるヤニフ・バルマス氏はBusiness Insiderへの声明で述べています。「しかし実際には、これはモバイルサイバー攻撃に対する誰もが持つ最も強力な防御線の一つなのです。」
Instagramは最近、ユーザーがアプリのフィードを閲覧しているだけで、カメラやマイクを積極的に使用する必要がないにもかかわらず、カメラとマイクのインジケーターが勝手に作動しているように見えると報じられました。同社はこれをバグであり、修正に取り組んでいると主張していました。
Instagramの親会社であるFacebookは、最近提起された訴訟によると、iPhoneカメラの不正使用を通じてInstagramユーザーをスパイしていたとして告発されていた。今回の修正がこの訴訟に関連しているかどうかは不明である。
