En ny fejl i Instagram API er netop blevet placeret.
Den Instagram API har været på stedet i nogen tid nu. Omkring otte måneder siden, Instagram udgivet to API rettelser på tidligere rapporterede problemer via deres bug værktøj. Bugs var temmelig uskyldige i forhold til den, der blev bare spottet af David Sopas, en sikkerhed forsker ved WebSegura.
Den nuværende bug er en reflekteret filnavn download-bug, og eksisterer i den offentlige Instagram API. Sopas opdagede strømmen, da han formåede at producere en fil download-link, som syntes at være vært på en legitim Instagram domæne.
Den Instagram API flow kunne bekvemt tjene en cyberkriminelle ved at sætte ham til at inficere ofrets systemet på følgende måde: Lad os sige de cyberkriminelle hosts en skadelig fil på et sted af et valg, som kunne være et link til en side, han styrer, for eksempel. Den ondsindede link vil se helt legit, og når angriberen sender en besked med at link, brugeren ville naturligvis tillid til kilden og downloade filen, som vil se ud som om den kommer fra en ægte Instagram-domæne.
I et indlæg skrev Sopas på WebSegura, sagde han,
"Denne gang fandt jeg en RFD på Instagram API. Ingen grund til at tilføje enhver kommando på webadressen, fordi vi vil bruge en vedvarende reflekteret felt til at gøre det. Ligesom "Bio" feltet på brugerens konto. Hvad vi har brug for? En token. Ingen bekymringer, vi bare nødt til at registrere en ny bruger at få en. "
Den offentlige API til Instagram er ejet af Facebook, men Sopas forklarede, at Facebook sikkerhed ingeniører ikke var overbevist om, at RFD spørgsmål er alvorlige sikkerhedshuller.
Og, selv om "RFD er meget farligt og kombineres med andre angreb som phishing eller spam det kan føre til massive ødelæggelser,"Ifølge ham, hverken Facebook, heller mange andre virksomheder tager RfD spørgsmål under en alvorlig overvejelse.