Instagram API yeni bir böcek sadece yer olmuştur.
Instagram API süredir yerinde olmuştur. Yaklaşık sekiz ay önce, Instagram onların hata aracıyla önce bildirilen konularda iki API düzeltmeleri yayınlandı. böcek sadece David Sopas tarafından fark edildi birine göre oldukça masum olduğunu, WebSegura bir güvenlik araştırmacısı.
Geçerli hata yansıyan dosya indirme hata olduğunu, ve kamu Instagram API içinde var. O meşru Instagram alanda barındırılan gibiydi bir dosya indirme bağlantısı üretmek başardı olarak Sopas akışını keşfetti.
Instagram API akışı rahatlıkla şu şekilde kurbanın sistemini enfekte etmesini sağlayarak cybercriminal hizmet edebilir: en siber suçlu ana sunucuların diye kontrol eden bir sayfa için bir bağlantı olabilecek bir seçim bir yerde kötü niyetli bir dosya diyelim, Örneğin. Kötü niyetli bağlantı tamamen okunaklı bakmak ve edecek saldırganın bu bağlantıyı içeren bir ileti gönderdiğinde, kullanıcı doğal olarak kaynak güven ve gerçek bir Instagram etki alanından gelirse olarak görünecektir dosyasını indirmek istiyorum.
Bir yayında Sopas de yazdım WebSegura, dedi,
“Bu sefer Instagram API üzerinde bir RFD bulundu. biz bunu kalıcı yansıyan alanı kullanabilirsiniz çünkü gerek yok URL üzerinde herhangi komut eklemek için. Kullanıcı hesabındaki “Biyo” alanına gibi. İhtiyacımız olan? belirteç. Endişeye gerek yok biz sadece bir tane almak için yeni bir üyeyi beyan gerekiyor.”
Instagram için genel API Facebook'ta aittir, ama Sopas Facebook güvenlik mühendisleri RFD sorunları ciddi güvenlik açıkları olduğuna ikna olmadıklarını açıkladı.
Ve, “RFD çok tehlikeli ve kimlik avı veya spam gibi diğer saldırılar ile kombine olmasına rağmen büyük hasara yol açabilir," Ona göre, ne Facebook, ne de diğer birçok şirket ciddi göz altında RFD sorunlarını alıyor.