ΑρχικήsecurityBug στο Instagram επιτρέπει κακόβουλες λήψεις

Bug στο Instagram επιτρέπει κακόβουλες λήψεις

Instagram

Ενας ερευνητής ασφάλειας εντόπισε την ύπαρξη bug στο Instagram, το οποίο θα μπορούσε να επιτρέψει σε επιτιθέμενο την ανάρτηση μηνύματος με link σε σελίδα που ελέγχει ο ίδιος και όπου φιλοξενείται το κακόβουλο αρχείο, όταν ο χρήστης κατεβάσει αυτό το αρχείο, θα φαίνεται να έχει προέλθει από νόμιμο domain του Instagram, κατευθύνοντας έτσι τον χρήστη-θύμα να εμπιστευθεί την πηγή προέλευσης.

Το ζήτημα ενός reflected filename download bug (RFD), βρίσκεται στο δημόσιο API για την υπηρεσία του δημοφιλούς social network, που αποτελεί ιδιοκτησία του Facebook. Ο ερευνητής David Sopas της WebSegura στην Πορτογαλία, εντόπισε πως με ένα access token από οποιονδήποτε λογαριασμό χρήστη, στην συνέχεια επικολλώντας ένα κωδικό στο πεδίο του “Bio” και τέλος χρησιμοποιώντας κάποια άλλα κόλπα, μπόρεσε να παράγει ένα link αρχείου download που φαινόταν να φιλοξενείται σε νόμιμο domain του Instagram.

Ο Sopas διαπίστωσε πως η τεχνική που ο ίδιος ακολούθησε λειτουργεί σε browsers όπως oι Chrome, Opera, Chrome για Android, stock browser του Android, και σε ορισμένες περιπτώσεις και στον Firefox.

Ο επιτιθέμενος μπορεί να ενσωματώσει πρακτικά οποιοδήποτε κακόβουλο αρχείο ακόμη και malware. O Sopas σημειώνει πως δυσκολεύτηκε να πείσει τους αρμόδιους στο Facebook πως τα RFD bugs αποτελούν ευπάθειες. Φαίνεται να μην τους έπεισε ιδιαίτερα, αφού του απάντησαν πως το ζήτημα δεν αποτελεί προτεραιότητα.

«Πολλές εταιρίες δεν έχουν καταλάβει ακόμη πως τα RFD είναι επικίνδυνα και σε συνδυασμό με άλλες τακτικές όπως το phishing ή το spam μπορούν να προκαλέσουν τεράστιες ζημιές. Μπορείτε να φανταστείτε μια phishing campaign της οποίας το link του mail προέρχεται πραγματικά απ’ το Instagram ;» δηλώνει ο ερευνητής.

Εκπρόσωπος του δημοφιλούς photo-sharing network, τοποθετήθηκε σχετικά με το ζήτημα λέγοντας πως το θέμα που έφερε στο φως ο Sopas δεν εμπεριέχεται στο bug bounty program του Facebook αφού θεωρήθηκε ελάσσονος σημασίας. Επιχειρηματολογεί υποστηρίζοντας πως το συγκεκριμένο bug δεν έχει επιπτώσεις στην ασφάλεια και αποτελεί τεχνική social engineering, που προϋποθέτει ενεργή αλληλεπίδραση του θύματος. Σύμφωνα με τον εκπρόσωπο της εταιρίας οι συχνές τεχνικές αλλαγές δεν είναι ο καλύτερος τρόπος αντιμετώπισης τέτοιων απειλών…

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS