Instagram漏洞让非公开帐号上传内容在浏览器下曝光并转传

发表于:2019-9-11 09:59  作者:数码小强   来源:今日头条

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: Instagram

  脸书和Instagram(IG)提供动态消息及不公开帐号等功能,来确保用户信息的隐私性,不过媒体Buzzfeed发现IG有个漏洞,可让用户原本不想被人看到的照片和视频,在浏览器环境下让他人存取、下载及转传。
  Buzzfeed的测试团队发现,只要获知某则IG贴文或限时动态(stories)图片或视频的网址,就能在浏览器环境读取属性。例如在Chrome浏览器下,可以从元素检查工具(Inspect Element)下的"网络"找到"Img"并取得网址。这些网址即可用于在浏览器中显示、下载影片、图片属性,或是散布给其他人,即使它是由不公开帐号上传。当然,前提是泄密者必须先追踪其他用户的IG信息。
  
  测试团队发现,即使是IG贴文过了有效期间消失、甚至被删除,都还能用这个方法找到,因为IG贴文网址还会留在网络上几天,而图片或视频的网址留存时间还更久。
  Buzzfeed报导指出,这种找到相片(或视频)公开网址的手法有许多好处。一来,公开网址提供了上传方式、相片尺寸等相片技术资讯,而且它无法假造,反而能证明相片的真实性,使当事人难以否认。此外,IG会追踪谁以app读取信息属性,但却未能追踪以公开网址观看信息的人,使用户无从追查散布相片或视频的幕后黑手,以及最后有多少人看到。
  The Verge还发现,如果有其他使用者对这些相片及视频留过言,则他们的帐号资料档网址,也会被这个方法抓出来。
  或许用户觉得那用脸书隐私模式好了。坏消息是,由于IG所有属性现在都代管在脸书自己的属性递送网络(CDN)上,因此上述偷看属性的方法,也可用在脸书的限时动态或不公开的贴文上。
  目前IG和脸书尚未对此回应。

     上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理

【大佬说】测试员跳槽时,如何高效地准备面试?

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2019, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道