Een nieuwe bug in de Instagram API zojuist is gevestigd.
De Instagram API is geweest op de plek voor enige tijd. Ongeveer acht maanden geleden, Instagram publiceerde twee API fixes op eerder gemelde problemen via hun bug hulpmiddel. De insecten waren nogal onschuldig vergeleken met degene die net werd gespot door David Sopas, een security-onderzoeker bij WebSegura.
De huidige bug is een uiting bestandsnaam te downloaden bug, en bestaat binnen de publieke Instagram API. Sopas ontdekte de stroom als hij erin slaagde om een bestand download-link die leek op een legitieme Instagram domein worden gehost produceren.
De Instagram API stroom kan gunstig serveren een cybercrimineel doordat hij in staat om het systeem van het slachtoffer te infecteren op de volgende manier: Laten we zeggen dat de cybercrimineel hosts een kwaadaardig bestand op een locatie van een keuze die een link naar een pagina die hij controleert kon zijn, bij voorbeeld. De kwaadaardige link zal volledig legit kijken en toen de aanvaller stuurt een bericht met die link, de gebruiker zou natuurlijk vertrouwen van de bron en download het bestand dat zal lijken alsof het afkomstig is van een echte Instagram domein.
In een post schreef Sopas op WebSegura, hij zei,
"Deze keer vond ik een RFD op Instagram API. Geen behoefte aan een opdracht toe te voegen aan de URL, omdat we een aanhoudende weerspiegeld veld zal gebruiken om dat te doen. Net als "Bio" veld op de gebruikersaccount. Wat we nodig hebben? Een token. Geen zorgen moeten we er gewoon een nieuwe gebruiker registreren om er een te krijgen. "
De openbare API voor Instagram is eigendom van Facebook, maar Sopas legde uit dat Facebook veiligheid ingenieurs waren niet van overtuigd dat RFD kwesties zijn ernstige beveiligingsproblemen.
En, hoewel "RFD is zeer gevaarlijk en gecombineerd met andere aanvallen zoals phishing of spam zou kunnen leiden tot grote schade,"Volgens hem, noch Facebook, noch veel andere bedrijven nemen de RFD kwesties onder een serieuze overweging.