Assalamu’alaikum Wr. Wb.

Salam sehat dan sukses untuk semuanya para bug hunter dimana pun anda berada. Kembali lagi bersama saya rootbakar. Pada kesempatan yang baik kali ini izinkan saya untuk membagikan sebuah artikel temuan bug di salah satu platform yang paling sering di gunakan masyarakat di seluruh belahan dunia, apalagi kalo bukan Instagram. Dari yang tua sampai yang muda pasti tidak asing dengan sosial media yang satu ini, tapi jangan salah. Dibalik gemerlapnya fitur yang disediakan oleh Instagram terdapat pula bug di dalamnya, salah satunya yaitu di Fitur Instagram Live. Salah satu fitur yang paling sering rekan-rekan gunakan pastinya :).

Oke biar gk terlalu basa basi langsung aja yah cek bug seperti apa sih yang saya temukan dan bagaimana dampaknya untuk para pengguna Instagram pada saat melakukan Live. Check this out…..

 

RESUME:

Bug ini saya temukan di fitur Live 

Instagram Live Images | Free Vectors, Stock Photos & PSD

Pada saat seorang user yang terdaftar di Instagram baik yang sudah terverifikasi ataupun belum terverifikasi (dengan catatan menggunakan perangkat/device Android jenis apapun dan merek apapun) semuanya dapat terdampak oleh bug atau kerentanan ini. Sementara pada saat saya coba di pengguna iPhone masih aman dan damai, alias tidak terdampak oleh kerentanan ini.

Jadi pada saat seorang user melakukan Live di Instagram terdapat sebuah pilihan untuk mengirimkan reaction atau reaksi berupa icon love, smile, fire dan lain sebaginya.

Ketika reaction itu dikirimkan dan kita intercept dengan menggunakan Burp Suite akan mendapatkan endpoint /api/v1/live/{user_live_id}/react/ dan terdapat parameter reaction_unicodeSampai disini saya sudah menemukan sebuah vulnerable endpoint dan parameter yang terdapat di fitur Live di Instagram.

Original Request
Exploit Request

Oke sampai di baris ini, rekan-rekan dapat melihat bagaimana proses exploitasi ini dapat berdampak fatal bagi pengguna Instagram yang sedang melakukan Live, karena secara otomatis ketika serangan ini dijalankan user yang melakukan live ataupun yang menonton live akan secara otomatis terkick atau terlempar keluar sesi live dan akan muncul pesan error atau error warning seperti di bawah ini.

 

Jika sudah muncul pesan eror seperti di atas, artinya user sudah berhasil di eksploitasi. Simple sih tapi nyakitin :), lagi enak nonton live malah keluar hehehehe.

 

PROOF OF CONCEPT:

  1. User A login ke akun Instagram miliknya;
  2. User B login dan melakukan Live di Instagram;
  3. User A mencari akun User B dan bergabung di dalam Live tersebut;
  4. User A mengirimkan reaksi dan melakukan intercept dengan menggunakan Burp Suite untuk mendapatkan endpoint Live Instagram User B tersebut;
  5. User C dan User D juga bergabung di dalam Live tersebut;
  6. User A mengirimkan malicious request dengan memanfaatkan langkah no 4 dan memasukan payload ke dalam parameter reaction_unicode; dan
  7. User B, User C dan User D semua berhasil di keluarkan dari Live tersebut.

 

TIMELINE:

  • Report: June, 2022
  • Triage: July, 2022
  • Fix: July, 2022
  • Rewards: July, 2022

 

HALL OF FAME:

 

Demikian writeup yang dapat saya tulis dan saya bagikan pada kesempatan kali ini, semoga tulisan ini dapat bermanfaat dan memotivasi rekan-rekan bug hunter yang lain. Jika ada kesalahan atau kekurangan pada penulisan kali ini saya sangat mengharapkan kritik dan masukan dari rekan-rekan bug hunter semua.

 

Terimakasih untuk semua pihak yang sudah berkenan bergabung ke Live yang saya buat pada saat reproduksi bug tersebut yang tidak bisa saya sebutkan satu persatu.

 

Salam sehat dan sukses untuk kita semua.

Best Regards,

rootbakar

 

Wassalamu’alaikum Wr. Wb.

4 Replies to “Facebook Bug Bounty – H4ck *Instagram Live* dan mendapatkan 5000 USD”

  1. Apakah kerjanya seperti DOS sehingga mengakibatkan crash ?
    Terimakasih apabila sudah menjawab
    Salam hormat

Leave a Reply

Your email address will not be published. Required fields are marked *