Un nuovo bug nella API Instagram è stato appena si trova.
L'API Instagram è stato sul posto per qualche tempo. Circa otto mesi fa, Instagram ha pubblicato due correzioni API sui problemi già segnalati tramite il loro strumento di bug. Gli insetti erano piuttosto innocenti rispetto a quello che è stato appena notato da David Sopas, un ricercatore di sicurezza a WebSegura.
Il bug attuale è un riflesso scaricare file bug, ed esiste all'interno della pubblica Instagram API. Sopas scoperto il flusso di come è riuscito a produrre un link download di file che sembrava essere ospitato su un dominio legittimo Instagram.
Il flusso di API Instagram potrebbe servire comodamente un criminale informatico, consentendogli di infettare il sistema della vittima nel modo seguente: Diciamo che i padroni di casa cybercriminali un file dannoso in una posizione di una scelta che potrebbe essere un collegamento a una pagina che controlla, per esempio. Il collegamento dannoso sarà completamente legittime e quando l'attaccante invia un messaggio contenente quel link, l'utente fiducia naturalmente la fonte e scaricare il file che apparirà come se si proviene da un vero dominio Instagram.
In un post scritto a Sopas WebSegura, ha detto,
"Questa volta ho trovato un RFD su Instagram API. Non c'è bisogno di aggiungere qualsiasi comando sull'URL perché useremo un campo riflesso persistente per farlo. Come campo "Bio" sul conto utente. Ciò di cui abbiamo bisogno? Un token. Nessun problema abbiamo solo bisogno di registrare un nuovo utente per ottenere uno. "
L'API pubblica per Instagram è di proprietà di Facebook, ma Sopas ha spiegato che i tecnici di sicurezza di Facebook non erano convinti che le questioni RFD sono gravi vulnerabilità di sicurezza.
E, anche se "RFD è molto pericoloso e in combinazione con altri attacchi come phishing o spam potrebbe portare a danni enormi,"Secondo lui, né Facebook, né molte altre aziende stanno prendendo i temi RFD in una seria considerazione.