Um novo bug na API do Instagram acaba de ser localizado.
A API Instagram tem sido no local por algum tempo agora. Cerca de oito meses atrás, Instagram publicou duas correções API sobre questões previamente relatados através de sua ferramenta de bug. Os insetos foram bastante inocente em comparação com o que acabou de ser descoberto por David SOPAS, pesquisador de segurança na WebSegura.
O bug atual é um download bug filename refletida, e existe dentro do público Instagram API. SOPAS descobriu o fluxo de como ele conseguiu produzir um link para download do arquivo que parecia ser hospedado em um domínio legítimo Instagram.
O fluxo API Instagram poderia servir convenientemente um cibercriminoso, capacitando-o para infectar o sistema da vítima, da seguinte forma: Vamos dizer que os anfitriões cibercriminosos um arquivo malicioso em um local de uma escolha que poderia ser um link para uma página que ele controla, por exemplo. O link malicioso ficará completamente legítimo e quando o atacante envia uma mensagem contendo esse link, o usuário seria naturalmente confiar na origem e baixar o arquivo que irá aparecer como se se trata de um domínio Instagram verdade.
Em um post SOPAS escreveu em WebSegura, ele disse,
"Desta vez eu encontrei um RFD no Instagram API. Não há necessidade de adicionar qualquer comando no URL, porque vamos usar um campo refletiu persistente de fazer isso. Como campo "Bio" na conta de usuário. O que nós precisamos? Um token. Não se preocupe que nós só precisa registrar um novo usuário para obter um. "
A API pública para o Instagram é de propriedade do Facebook, SOPAS mas explicou que os engenheiros de segurança do Facebook não estavam convencidos de que as questões RFD são sérias vulnerabilidades de segurança.
E, embora "RFD é muito perigoso e combinado com outros ataques como phishing ou spam que poderia levar a grandes danos,"Segundo ele, nem Facebook, nem muitas outras empresas estão tomando as questões RFD sob uma consideração séria.