ИБ-эксперт обнаружил ошибку в программном интерфейсе Instagram

ИБ-эксперт WebSegura.net Дэвид Сопас (David Sopas) обнаружил ошибку в программном интерфейсе Instagram, которая позволяет злоумышленнику рассылать ссылки на загрузку файла, инфицированного вредоносным ПО, с контролируемой им учетной записи. У пользователя даже не возникнут подозрения, так как ссылка может направлять жертву на официально зарегистрированный аккаунт в Instagram.

Специалист выявил, что с помощью маркера доступа к любой учетной записи в Instagram, вставив специальный код в поле с биографическими данными, злоумышленник способен создать ссылку на скачивание дистрибутивного файла, который может быть инфицирован вредоносным ПО. Сопас обнаружил, что данный метод работает в браузерах Chrome, Opera, Chrome для Android и в некоторых случаях в Firefox.

Исследователь заявил, что не сумел убедить ИБ-специалистов компании Facebook, которая владеет Instagram, в том, что обнаруженная ошибка предельно опасна для пользователей приложения. Представители Facebook сообщили, что исправление данной находки для них не приоритетно.