Nouveau Bug Instagram API pourrait Activer attaquants pour propager des programmes malveillants

Nouveau Bug Instagram API pourrait Activer attaquants pour propager des programmes malveillants

Un nouveau bug dans l'API Instagram vient d'être situé.

L'API Instagram a été sur place pendant un certain temps maintenant. Il ya environ huit mois, Instagram a publié deux correctifs de l'API sur les questions précédemment rapportés via leur outil de bug. Les insectes étaient plutôt innocent par rapport à celui qui vient d'être repéré par David Sopas, un chercheur en sécurité au WebSegura.

Le bug actuel est un nom de fichier téléchargement bug réfléchie, et existe dans le public Instagram API. Sopas découvert le flux comme il a réussi à produire un lien de téléchargement de fichiers qui semblait être hébergé sur un domaine légitime Instagram.

Le flux de l'API Instagram pourrait facilement servir un cybercriminel, en lui permettant d'infecter le système de la victime de la manière suivante: Disons que les hôtes cybercriminelles un fichier malveillant à un emplacement de choix qui pourrait être un lien vers une page qu'il contrôle, par exemple. Le lien malveillant sera complètement légitime et lorsque l'attaquant envoie un message contenant ce lien, l'utilisateur serait naturellement confiance à la source et de télécharger le fichier qui apparaîtra comme se il se agit d'un véritable domaine Instagram.

Dans un post Sopas écrit à WebSegura, dit-il,

"Cette fois, je ai trouvé un RFD sur Instagram API. Pas besoin d'ajouter ne importe quelle commande sur l'URL parce que nous allons utiliser un champ réfléchi persistante à faire. Comme champ «Bio» sur le compte de l'utilisateur. Ce que nous devons? Un jeton. Pas de soucis, nous ont juste besoin d'enregistrer un nouvel utilisateur d'obtenir une ".

L'API publique pour Instagram est possédée par Facebook, mais Sopas expliqué que Facebook ingénieurs de sécurité ne étaient pas convaincus que les questions RFD sont les failles de sécurité graves.

Et, bien "RFD est très dangereux et combinée avec d'autres attaques de phishing ou le spam comme cela pourrait conduire à des dégâts massifs,"Selon lui, ni Facebook, ni beaucoup d'autres entreprises prennent les questions RFD sous un examen sérieux.