Ein neuer Fehler in der Instagram-API hat gerade angesiedelt.
Die Instagram-API auf der Stelle für einige Zeit gewesen. Über acht Monaten, Instagram veröffentlichte zwei API-Fixes auf die zuvor berichtete Fragen über ihre Bug-Tool. Die Fehler waren eher harmlos im Vergleich zu dem, der gerade von David Sopas entdeckt wurde, Sicherheitsexperte bei WebSegura.
Der aktuelle Fehler ist eine reflektierte Dateinamen herunterladen bug, und innerhalb des öffentlichen Instagram API existiert. Sopas entdeckt den Fluss, wie er es geschafft, eine Datei Download-Link, der auf einem legitimen Instagram Domain gehostet werden schien produzieren.
Die Instagram API Fluss konnte bequem servieren ein Cyberkrimineller, indem du ihn das System des Opfers in der folgenden Weise zu infizieren: Nehmen wir an, der Cyberkriminellen Gastgeber eine schädliche Dateien an einem Ort der Wahl, die einen Link zu einer Seite, die er kontrolliert sein könnte, beispielsweise. Die bösartigen Link wird vollständig legitim aussehen und wenn der Angreifer sendet eine Nachricht, die diesen Link, der Benutzer wäre natürlich vertrauen die Quelle und laden Sie die Datei, die angezeigt werden, als ob es von einem echten Instagram-Domain kommt.
In einem Beitrag schrieb Sopas an WebSegura, er sagte,
"Dieses Mal fand ich eine RFD auf Instagram API. Keine Notwendigkeit, jeden Befehl auf dem URL hinzufügen, weil wir eine anhaltende reflektierte Feld verwenden, um das zu tun. Wie "Bio" Feld auf das Benutzerkonto. Was wir brauchen? Ein Token. Keine Sorgen müssen wir nur noch melde dich an, um eins zu bekommen. "
Die öffentliche API für Instagram ist Besitz von Facebook, aber Sopas erklärte, dass Facebook Sicherheitsingenieure waren nicht davon überzeugt, dass RFD Fragen sind gravierende Sicherheitslücken.
Und, obwohl "RFD ist sehr gefährlich und in Kombination mit anderen Angriffe wie Phishing oder Spam könnte es zu massiven Schäden führen,"Nach ihm, weder Facebook, noch viele andere Unternehmen nutzen die RFD Themen unter einem ernsthaft in Erwägung gezogen.