Hlavní navigace

API Snapchatu umožňuje zjišťovat data o uživatelích, firma varování ignorovala

Daniel Dočekal 27. 12. 2013

Nedostatky v API umožňují přístup k informacím o uživatelích chatovací služby Snapchat. Ta je oblíbená hlavně mezi mládeží.

Společnost Gibson Security již v září upozornila Snapchat na nedostatky v API, které umožňují zjistit telefonní čísla a uživatelská jména uživatelů. Společnost ale chybu nenapravila a Gibson Security přistoupili k dalšímu kroku – plnému zveřejnění API (viz Snapchat – GibSec Full Disclosure) a upozornění na zjištěné bezpečnostní nedostatky. Vedle již zmíněného problému navíc API umožňuje hromadné registrování uživatelských účtů.

Kolik má Snapchat uživatelů, není známo, provozovatelé zatím čísla nezveřejnili. Vypustili do světa jen to, že většina uživatelů má mezi 13 a 25 lety (a 70 % z toho jsou ženy, což mimochodem Gibson Security zpochybňuje na základě toho, že Snapchat žádné  informace o uživatelích nemá) a že denně pošlou 400 milionů zpráv.

Snapchat hraje významnou roli mezi mladými lidmi – umožňuje totiž poslat fotografii či video a nastavit omezení, jak dlouho se příjemce na přijatou zprávu smí dívat. Po uplynutí této doby (několik sekund) se přijatá zpráva smaže (a nezůstává zachována ani u odesílatele, pokud si ji ručně neuloží). Právě toto zdání bezpečnosti stojí za rostoucí popularitou služby, včetně častých zmínek o tom, že uživatelé Facebooku utíkají právě sem.

Snapchat v poslední aktualizaci zavedené pořádky trochu narušil: přijaté zprávy totiž bude možné vidět opakovaně, byť i zde budou stále platit omezení. Je nutné dodat, že příjemce fotografie si ji samozřejmě může „ofototit“ pomocí funkce pro sejmutí screenshotu (je to možné jak v iOSu, tak v Androidu) – odesílatel by se ale o tom měl dozvědět, aby si případně rozmyslel další posílání důvěrných fotografií.

EBF16

Zjištěné bezpečnostní nedostatky znamenají, že kdokoliv s dostatkem času může pomocí API zjistit telefonní čísla a jména všech uživatelů Snapchatu – API totiž nijak neomezuje automatické využití pro dolování dat. Získaná data je možné dál využít, včetně automatizovaného zakládání falešných účtů.

Nejde o první objev bezpečnostních nedostatků Snapchatu – v květnu se zjistilo, že fotografie smazané v telefonu tak úplně smazené nejsou a je možné je najít v souborovém systému. Což se dá s ohledem na zásadní vlastnost Snapchatu, tedy poslání fotografií tak, aby nemohly být ukládány a dále využívány, hodnotit jako poměrně zásadní selhání. V App Store se dokonce objevila aplikace Snap-Hack, která dokázala přístup ke „smazaným“ fotografiím výrazně zjednodušit.

Našli jste v článku chybu?
Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Vitalia.cz: Tipy: Kde zaručeně koupíte dobré maso

Tipy: Kde zaručeně koupíte dobré maso

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje