如今,几乎每个人都在社交媒体上分享自己的生活——发布照片、标记地点并讲述他们的位置。但是用户是否考虑过可以从这些数据中了解到多少关于他们的信息?
是否可能通过Instagram确定一个人的位置 并且是否可以在不通知帐户所有者的情况下做到这一点?在本文中,我们将分析该平台的脆弱性以及可以用于跟踪的技术。
Instagram对个人数据有多安全?
任何主要社交网络都在积极开发数据保护系统。 开发人员定期更新安全算法和可疑活动检测系统。
然而 没有完全的保护保证 —— 数据泄露甚至发生在最大的IT公司中。
最引人注目的事件之一是2021年的数据泄露。
数百万用户的信息变得公开可用。数据库包含电子邮件地址、电话号码和其他个人信息。这些数据可能用于网络钓鱼攻击、账户黑客攻击和各种社会工程方案。
位置信息被认为是最敏感的数据类别之一。同时,用户经常自己发布这些信息。
当他们这样做时:
-
添加 照片的地理标签
-
发布 带有位置标签的故事
参与 与位置相关的挑战
随着时间的推移,这些数字痕迹可以用于 活动分析和用户路径构建。
重要! 一个人发布的位置信息越多,就越容易形成他的移动地图。
Instagram上的地理位置跟踪服务
如今,网络上可以找到许多服务,允许通过他的账户确定一个人的位置以及分析个人资料活动、消息和移动历史。
这些服务的功能中,最常见的是:
-
确定准确的位置 用户的实时位置。这是通过分析地理标签、发布中的标记地点和来自Stories的数据来实现的。
-
移动路径分析服务生成用户最常访问地点的地图,并识别其常用路径。
监控个人资料活动包括订阅、点赞和评论,这使得收集有关账户所有者行为的额外信息成为可能。
-
获取访问权限 直接消息、语音通话和对话记录。
-
收集地理标签和坐标, 与帖子、故事和直播相关联。
跟踪附近用户的能力, 通过分析他们的位置并将其与个人资料所有者的当前地理位置进行匹配。
我如何测试程序以跟踪 Instagram 帐户
我研究安全系统的漏洞已经有几年了。在我的研究中,我测试了不同的监控工具,分析了它们的功能,甚至与一些程序的开发者联系。
我感兴趣的是什么?
易用性。 此类服务受欢迎的原因之一是它们的简单性。用户无需具备技术知识或安装复杂程序——只需输入用户名、电话号码或个人资料链接,之后该服务即可提供地理位置数据。一些平台能够快速确定某人的位置,而无需安装额外的应用程序。实时显示移动,保存路线历史,并在地图上显示用户最常访问的地点。
同意,这样的功能看起来很吸引人。
明显的跟踪方法。 我遇到的最简单的开发并没有“黑客”平台本身,而是分析了用户的数字痕迹:
-
照片和视频上的位置标签。
-
故事的时间戳。
与帐户关联的其他社交网络的数据。
高级开发。 现代监控程序已经远远超出了开放数据分析的范围。它们能够渗透到封闭的个人资料中,实时获取用户的地理位置。这意味着不仅可以观察一个人的当前位置,还可以通过分析访问过的地点历史来跟踪他们的移动。
这样的应用程序创建完整的移动日志,记录帐户所有者的位置和时间。他们分析与帖子、故事和直播相关的所有已发布的地理标签。即使用户删除了帖子,位置信息仍可能保存在应用程序的数据库中。
此外,这些服务能够 分析一个人的订阅和兴趣,形成访问过的场所列表——餐厅、健身房、购物中心和其他地方。这甚至可以根据对同一地点的定期访问来预测未来的移动。
此类高级程序成为秘密监控的强大工具。
Instagram账户的黑客和监控技术
我认为确定地理位置的酷技术是OSINT(开放源智能)方法、网络流量拦截(MITM攻击)、API平台漏洞分析和行为分析。这些工具的结合使得收集和处理大量数据成为可能。这使它们成为活动分析和跟踪的强大工具。
如何访问他人的Instagram个人资料
为了准确跟踪,采用了一种混合方法来妥协目标帐户。初始阶段从被动的OSINT分析开始,在此过程中程序收集所有公共数据:
媒体文件的元数据(包括图像EXIF数据中的隐藏GPS坐标)。
活动历史 (例如,在线存在时间、头像更改、地理位置标签)。
连接和互动(收集有关订阅、点赞和评论的信息)。
如果帐户链接了社交网络(Facebook、TikTok、Twitter),程序会分析它们的API以识别潜在的攻击向量。
如果 帐户与其他社交网络相关联, 例如,Facebook、TikTok或Twitter,系统可以分析这些连接并寻找安全漏洞。有时,通过这样的链接访问数据变得更容易。
常见的方法之一 — 拦截用户的活动会话. 这意味着系统试图“捕获”已经打开的登录会话。例如,如果一个人通过不安全的连接或开放的Wi-Fi网络登录帐户,则部分服务数据可能会被拦截。在这种情况下,可以在不输入密码的情况下登录帐户。
此外 分析服务操作的技术特征 — 例如,请求是如何形成的,以及应用程序和服务器之间传输了哪些数据。有时,这允许获取有关帐户的附加信息:隐藏的用户ID、备用电子邮件地址或恢复数据。
是否可以找出通过Instagram一个人在哪里
获得帐户访问权限后,开始分析地理数据。此功能基于几种技术:
GPS坐标的检测 通过上传的图像和故事的元数据。即使平台在上传时删除EXIF数据,应用程序也可以通过临时缓存和第三方CDN服务器恢复它。
地理标签的分析。 该程序扫描标记的位置,并创建用户移动的交互式地图。
拦截消息提到位置。文本分析算法可以从对话中提取城市名称、街道和机构。
此外,系统使用预测算法分析访问过的地点并计算可能的移动路线。
通过Instagram监控程序可以获得哪些数据
所有收集的数据都传输到一个互动控制面板,操作员可以访问被黑客攻击的个人资料的信息。界面通常提供访问:
访问地点的历史 以时间轴的形式。
当前位置信息的显示 以及自定义警报的能力。
故事档案 和已删除的帖子。
访问通信, 包括语音消息和媒体文件。
活动监控实时(在线状态、新订阅、点赞、评论)。
如果应用程序支持与Google Maps、OpenStreetMap或Apple Maps的集成,则可以直接在流行的地图服务中打开地理标签和路线。
想象一下,现代社交网络中数字隐私可能是多么脆弱……
最先进的发展是多层数据分析系统。它们使用OSINT技术、MITM攻击和API漏洞来访问帐户信息。