En ny bugg i Instagram API har just varit placerad.
Den Instagram API har varit på plats under en längre tid nu. Omkring åtta månader sedan, Instagram publicerat två API korrigeringar på tidigare rapporterade frågor via sin bug verktyg. Insekterna var ganska oskyldiga jämfört med den som just upptäcktes av David Sopas, en säkerhetsforskare vid WebSegura.
Den aktuella felet är en reflekterad filnamn nedladdning bug, och finns inom den offentliga Instagram API. Sopas upptäckte flödet som han lyckats producera en fil nedladdningslänk som tycktes finnas på en legitim Instagram-domän.
Den Instagram API flödet kan lämpligen tjäna en nätbrottsling genom att möjliggöra för honom att infektera offrets systemet på följande sätt: Låt oss säga att nätbrottsling värd en skadlig fil på en plats för ett val som skulle kunna vara en länk till en sida som han kontrollerar, till exempel. Den skadlig länk ser helt äkta och när angriparen skickar ett meddelande som innehåller som länkar, användaren skulle naturligtvis litar på källan och ladda ner filen som kommer att se ut som om det kommer från en riktig Instagram-domän.
I ett inlägg skrev Sopas på WebSegura, han sa,
”Den här gången hittade jag en RFD på Instagram API. Du behöver inte lägga något kommando på webbadressen, eftersom vi kommer att använda en ihållande reflekterade fält för att göra det. Liksom ”Bio” -fältet på användarkontot. Vad vi behöver? En token. Inga problem vi behöver bara registrera en ny användare att få en.”
Den offentliga API för Instagram ägs av Facebook, men Sopas förklarade att Facebook säkerhetsingenjörer inte övertygade om att RFD frågor är allvarliga säkerhetsproblem.
Och, även om ”RFD är mycket farligt och i kombination med andra attacker som phishing eller spam det kan leda till omfattande skador," enligt honom, varken Facebook, eller många andra företag tar RFD frågorna under allvarligt övervägande.