Lỗ hổng trong API Instagram cho phép tải file độc hại

Một nhà nghiên cứu bảo mật cho biết tồn tại một lỗ hổng trong API Instagram cho phép tin tặc có thể gửi một tin nhắn chứa đường dẫn đến trang mà kẻ tấn công đã kiểm soát, chứa các tệp tin độc hại. Các tệp tin độc hại sẽ được hiển thị dưới dạng tên miền Instagram hợp pháp khiến người dùng dễ dàng tin tưởng để tải về.

Vấn đề liên quan đến lỗ hổng nằm trong API công khai của dịch vụ Instagram. Nhà nghiên cứu David Sopas của WebSegura cho biết bằng cách sử dụng token truy cập từ bất kì tài khoản người dùng nào, chèn code và sử dụng một vài thủ thuật, ông có thể tạo ra một đường dẫn trông có vẻ hợp pháp đến từ tên miền Instagram.

Sopas cho biết kĩ thuật này làm việc trên Chrome, Opera, Chrome trên Android, trình duyệt Android gốc và Firefox trong một vài hoàn cảnh. Ông tạo ra một file có tên đặc biệt, khi người dùng nhấn vào đường dẫn trong tin nhắn sẽ bị chuyển hướng đến trang độc hại chứa . Bạn có thể xem minh họa tại video dưới đây:

https://youtu.be/zwcB4J0HQ7Y

Rất nhiều công ty chưa nhận thức được mức độ nguy hiểm của lỗ hổng này kết hợp với các cuộc tấn công khác như lừa đảo hoặc gửi tin nhắn rác đã gây ra hậu quả nghiêm trọng.

threatpost