Un investigador de seguridad dice que hay un error en la API de Instagram que podría permitir a un atacante escribir un mensaje con un enlace a una página controlada por el, alojando un archivo malicioso, pero cuando el usuario descarga el archivo aparecerá venir del dominio legítimo de Instagram, lo que llevaría a la víctima a confiar en la fuente.
El problema, un bug de descarga reflejada de nombre de archivo, se encuentra en la API pública del servicio de Instagram, que es propiedad de Facebook. El investigador David Sopas de WebSegura en Portugal encontró que al utilizar el token de acceso de la cuenta de cualquier usuario, pegar un código en el campo bio en la cuenta de un usuario y el uso de algunos otros pequeños trucos, podría producir un enlace de descarga de archivos que aparenta estar alojado en un dominio Instagram legítimo.
"Esta vez me encontré con un RFD en el API de Instagram. No es necesario añadir cualquier comando en la URL, porque vamos a utilizar un campo reflejado persistente para hacer eso. Como campo "Bio" de la cuenta de usuario. ¿que necesitamos? Un token. No se preocupe que sólo necesitan registrar un nuevo usuario para conseguir uno, "Sopas escribió en un post explicando la técnica del bug y la explotación.
"El siguiente paso: Inserte el comando batch que queremos usar en la cuenta de usuario de campo Bio [y tal vez otros]. Voy a tratar de abrir una nueva ventana de Chrome con una página maliciosa deshabilitando la mayoría de las protecciones de este navegador ".
Sopas descubrió que la técnica funciona en Chrome, Opera, Chrome para Android, el navegador predeterminado de Android y Firefox para Android en algunas circunstancias. Con el fin de hacer que funcione, también construyó un nombre de archivo específico, y cuando la víctima hace clic en un enlace en el mensaje Instagram del atacante, que será llevado a una página controlada por el atacante con un archivo que parece estar en un dominio de Instagram. El video de arriba muestra la técnica.
El atacante podría alojar cualquier archivo malicioso que elija en el lugar de destino, incluyendo malware. Sopas dijo que ha sido incapaz de convencer a los ingenieros de seguridad de Facebook que las cuestiones RFD son vulnerabilidades de seguridad. Él dijo que le dijeron que el tema no era una prioridad.
"Muchas empresas todavía no entienden que RFD es muy peligroso y se combina con otros ataques como phishing o spam que podría conducir a un daño masivo", dijo a Sopas través de correo electrónico.
"¿Imagínate una campaña de phishing donde el enlace del correo electrónico es realmente de Instagram?"
Fuente: ThreatPost
El problema, un bug de descarga reflejada de nombre de archivo, se encuentra en la API pública del servicio de Instagram, que es propiedad de Facebook. El investigador David Sopas de WebSegura en Portugal encontró que al utilizar el token de acceso de la cuenta de cualquier usuario, pegar un código en el campo bio en la cuenta de un usuario y el uso de algunos otros pequeños trucos, podría producir un enlace de descarga de archivos que aparenta estar alojado en un dominio Instagram legítimo.
"Esta vez me encontré con un RFD en el API de Instagram. No es necesario añadir cualquier comando en la URL, porque vamos a utilizar un campo reflejado persistente para hacer eso. Como campo "Bio" de la cuenta de usuario. ¿que necesitamos? Un token. No se preocupe que sólo necesitan registrar un nuevo usuario para conseguir uno, "Sopas escribió en un post explicando la técnica del bug y la explotación.
"El siguiente paso: Inserte el comando batch que queremos usar en la cuenta de usuario de campo Bio [y tal vez otros]. Voy a tratar de abrir una nueva ventana de Chrome con una página maliciosa deshabilitando la mayoría de las protecciones de este navegador ".
El atacante podría alojar cualquier archivo malicioso que elija en el lugar de destino, incluyendo malware. Sopas dijo que ha sido incapaz de convencer a los ingenieros de seguridad de Facebook que las cuestiones RFD son vulnerabilidades de seguridad. Él dijo que le dijeron que el tema no era una prioridad.
"Muchas empresas todavía no entienden que RFD es muy peligroso y se combina con otros ataques como phishing o spam que podría conducir a un daño masivo", dijo a Sopas través de correo electrónico.
"¿Imagínate una campaña de phishing donde el enlace del correo electrónico es realmente de Instagram?"
