Bug στο Instagram επιτρέπει σε επιτιθέμενο την ανάρτηση μηνύματος με link, σε σελίδα που ελέγχει ο ίδιος κι όπου φιλοξενείται το κακόβουλο αρχείο, όταν ο χρήστης κατεβάσει το αρχείο, θα φαίνεται να έχει προέλθει από νόμιμο domain του Instagram, κάνοντας το θύμα να εμπιστευθεί την πηγή προέλευσης.

Το ζήτημα ενός reflected filename download bug (RFD), βρίσκεται στο δημόσιο API για την υπηρεσία του δημοφιλούς social network, που αποτελεί ιδιοκτησία του Facebook. Ο ερευνητής David Sopas της WebSegura στην Πορτογαλία, εντόπισε πως με ένα access token από οποιονδήποτε λογαριασμό χρήστη, στην συνέχεια επικολλώντας ένα κωδικό στο πεδίο του “Bio” και τέλος χρησιμοποιώντας κάποια άλλα κόλπα, μπόρεσε να παράγει ένα link αρχείου download που φαινόταν να φιλοξενείται σε νόμιμο domain του Instagram.

Ο Sopas διαπίστωσε πως η τεχνική που ο ίδιος ακολούθησε λειτουργεί σε browsers όπως oι Chrome, Opera, Chrome για Android, stock browser του Android, και σε ορισμένες περιπτώσεις και στον Firefox.

Ο επιτιθέμενος μπορεί να ενσωματώσει πρακτικά οποιοδήποτε κακόβουλο αρχείο ακόμη και malware. O Sopas σημειώνει πως δυσκολεύτηκε να πείσει τους αρμόδιους στο Facebook πως τα RFD bugs αποτελούν ευπάθειες. Φαίνεται να μην τους έπεισε ιδιαίτερα, αφού του απάντησαν πως το ζήτημα δεν αποτελεί προτεραιότητα.

«Πολλές εταιρίες δεν έχουν καταλάβει ακόμη πως τα RFD είναι επικίνδυνα και σε συνδυασμό με άλλες τακτικές όπως το phishing ή το spam μπορούν να προκαλέσουν τεράστιες ζημιές. Μπορείτε να φανταστείτε μια phishing campaign της οποίας το link του mail προέρχεται πραγματικά απ’ το Instagram ;» δηλώνει ο ερευνητής.

Εκπρόσωπος του δημοφιλούς photo-sharing network, τοποθετήθηκε σχετικά με το ζήτημα λέγοντας πως το θέμα που έφερε στο φως ο Sopas δεν εμπεριέχεται στο bug bounty program του Facebook αφού θεωρήθηκε ελάσσονος σημασίας. Επιχειρηματολογεί υποστηρίζοντας πως το συγκεκριμένο bug δεν έχει επιπτώσεις στην ασφάλεια και αποτελεί τεχνική social engineering, που προϋποθέτει ενεργή αλληλεπίδραση του θύματος. Σύμφωνα με τον εκπρόσωπο της εταιρίας οι συχνές τεχνικές αλλαγές δεν είναι ο καλύτερος τρόπος αντιμετώπισης τέτοιων απειλών…

Πηγή: SecNews

Ακολουθήστε το Flash.gr στο Google News και μάθετε πρώτοι τις ειδήσεις