En ny bug i Instagram API har nettopp blitt plassert.
Den Instagram API har vært på stedet i noen tid nå. Omtrent åtte måneder siden, Instagram publisert to API fikser på tidligere rapporterte problemer via deres bug verktøy. Feilene var ganske uskyldig i forhold til en som nettopp ble oppdaget av David Sopas, en sikkerhetsforsker ved WebSegura.
Den nåværende bug er en reflektert filnavn nedlasting bug, og eksisterer innenfor offentlig Instagram API. Sopas oppdaget flyten som han klarte å produsere en fil nedlastingslink som syntes å være vert på en legitim Instagram domene.
Den Instagram API flyt kunne beleilig tjene en cybercriminal av slik at han kan infisere offerets system på følgende måte: La oss si at de cybercriminal vertene en ondsinnet fil på en plassering av et valg som kan være en link til en side han kontrollerer, for eksempel. Den skadelig kobling vil se helt legit og når den angriper sender en melding som inneholder den koblingen, brukeren vil naturligvis stole på kilden og laste ned filen som vil se ut som om det kommer fra en sann Instagram domene.
I et innlegg skrev Sopas på WebSegura, han sa,
"Denne gangen fant jeg en RFD på Instagram API. Du trenger ikke å legge noen kommando på URL fordi vi vil bruke et vedvarende reflektert felt for å gjøre det. Like "Bio" feltet på brukerkontoen. Hva vi trenger? En token. Ingen bekymringer vi trenger bare å registrere en ny bruker for å få en. "
Den offentlige API for Instagram er eid av Facebook, men Sopas forklarte at Facebook sikkerhets ingeniører var ikke overbevist om at RFD problemene er alvorlige sikkerhetsproblemer.
Og, selv om "RFD er svært farlig, og kombinert med andre angrep som phishing eller spam kan det føre til massiv skade,"Ifølge ham, verken Facebook, heller ikke mange andre selskaper tar de RFD problemer under en seriøs vurdering.