网络安全研究员 Jatin Banga 本周披露,Instagram 基础设施存在一个严重的服务器端漏洞,攻击者无需登录或关注关系即可访问私密照片和文字说明。Meta 公司已于 2025 年 10 月静默修复该漏洞,其利用方式涉及通过特定 HTTP 标头配置绕过移动网页端的隐私控制。
"Polaris"漏洞利用机制
该漏洞源于 Instagram 服务器端授权逻辑缺陷,而非简单的缓存错误。Banga 发现,向 instagram.com/<私密用户名> 发送带有特定移动端用户代理标头的未认证 GET 请求时,服务器会返回包含 polaris_timeline_connection JSON 对象的响应。
正常情况下,非关注者查看私密账户时该对象应为空或受限。但对于受影响账户,服务器会返回完整的 edges 数组,其中包含指向私密媒体文件及其文字说明的内容分发网络(CDN)直连地址。
漏洞利用流程:
- 请求阶段:攻击者向私密账户发送标头篡改的 GET 请求
- 响应阶段:服务器返回包含 JSON 数据的 HTML
- 数据提取:解析 polaris_timeline_connection 对象定位 edges 数组
- 内容获取:通过暴露的 CDN 地址访问高清图片及帖文详情
该"条件触发型"漏洞并非影响所有账户。测试显示约 28% 的授权测试账户存在风险,其余账户返回安全响应,表明漏洞触发需要特定后端状态或"受损"的会话处理机制。
静默修复时间线
披露文件记录了与 Meta 漏洞赏金计划长达 102 天的争议性互动。Banga 于 2025 年 10 月 12 日提交初始报告,包含 PoC 脚本和视频证据。Meta 最初以"CDN 缓存问题"为由拒绝,后要求提供具体受影响账户验证。10 月 14 日,Banga 提交可复现漏洞的第三方授权账户(its_prathambanga)。
10 月 16 日,所有先前存在风险的账户均无法复现漏洞,表明服务器端已完成修复,但 Meta 未发布任何修复通知。10 月 27 日,Meta 以"无法复现"为由关闭报告。当被质疑"要求提供漏洞账户后又予以修复"的矛盾行为时,Meta 安全团队回应称修复可能是"其他基础设施变更的意外副作用"。
该处理方式因缺乏根本原因分析而受到批评。由于未明确承认具体缺陷,无法确认底层授权问题已彻底解决,还是仅通过配置变更暂时掩盖。Banga 已在 GitHub 发布完整技术分析、网络日志和 Python PoC 脚本供同行评审。
"相比影响所有账户的漏洞,这种选择性暴露部分账户的条件型漏洞实际上更危险,"Banga 在报告中指出,"用'基础设施变更'搪塞无法建立安全信心。"
