IG漏洞讓非公開帳號上傳內容在瀏覽器下曝光並轉傳

臉書和Instagram(IG)提供動態消息及不公開帳號等功能,來確保用戶訊息的隱私性,不過媒體Buzzfeed發現IG有個漏洞,可讓用戶原本不想被人看到的照片和影片,在瀏覽器環境下讓他人存取、下載及轉傳。

Buzzfeed的測試團隊發現,只要獲知某則IG貼文或限時動態(stories)圖片或影片的網址,就能在瀏覽器環境讀取內容。例如在Chrome瀏覽器下,可以從元素檢查工具(Inspect Element)下的「網路」找到「Img」並取得網址。這些網址即可用於在瀏覽器中顯示、下載影片、圖片內容,或是散佈給其他人,即使它是由不公開帳號上傳。當然,前提是洩密者必須先追蹤其他用戶的IG訊息。

測試團隊發現,即使是IG貼文過了有效期間消失、甚至被刪除,都還能用這個方法找到,因為IG貼文網址還會留在網路上幾天,而圖片或影片的網址留存時間還更久。

Buzzfeed報導指出,這種找到相片(或影片)公開網址的手法有許多好處。一來,公開網址提供了上傳方式、相片尺寸等相片技術資訊,而且它無法假造,反而能證明相片的真實性,使當事人難以否認。此外,IG會追蹤誰以app讀取訊息內容,但卻未能追蹤以公開網址觀看訊息的人,使用戶無從追查散佈相片或影片的幕後黑手,以及最後有多少人看到。

The Verge還發現,如果有其他使用者對這些相片及影片留過言,則他們的帳號資料檔網址,也會被這個方法抓出來。

或許用戶覺得那用臉書隱私模式好了。壞消息是,由於IG所有內容現在都代管在臉書自己的內容遞送網路(CDN)上,因此上述偷看內容的方法,也可用在臉書的限時動態或不公開的貼文上。

目前IG和臉書尚未對此回應。

原文來自 iThome Online