Hlavní navigace

API Snapchatu umožňuje zjišťovat data o uživatelích, firma varování ignorovala

Daniel Dočekal

Nedostatky v API umožňují přístup k informacím o uživatelích chatovací služby Snapchat. Ta je oblíbená hlavně mezi mládeží.

Společnost Gibson Security již v září upozornila Snapchat na nedostatky v API, které umožňují zjistit telefonní čísla a uživatelská jména uživatelů. Společnost ale chybu nenapravila a Gibson Security přistoupili k dalšímu kroku – plnému zveřejnění API (viz Snapchat – GibSec Full Disclosure) a upozornění na zjištěné bezpečnostní nedostatky. Vedle již zmíněného problému navíc API umožňuje hromadné registrování uživatelských účtů.

Kolik má Snapchat uživatelů, není známo, provozovatelé zatím čísla nezveřejnili. Vypustili do světa jen to, že většina uživatelů má mezi 13 a 25 lety (a 70 % z toho jsou ženy, což mimochodem Gibson Security zpochybňuje na základě toho, že Snapchat žádné  informace o uživatelích nemá) a že denně pošlou 400 milionů zpráv.

Snapchat hraje významnou roli mezi mladými lidmi – umožňuje totiž poslat fotografii či video a nastavit omezení, jak dlouho se příjemce na přijatou zprávu smí dívat. Po uplynutí této doby (několik sekund) se přijatá zpráva smaže (a nezůstává zachována ani u odesílatele, pokud si ji ručně neuloží). Právě toto zdání bezpečnosti stojí za rostoucí popularitou služby, včetně častých zmínek o tom, že uživatelé Facebooku utíkají právě sem.

Snapchat v poslední aktualizaci zavedené pořádky trochu narušil: přijaté zprávy totiž bude možné vidět opakovaně, byť i zde budou stále platit omezení. Je nutné dodat, že příjemce fotografie si ji samozřejmě může „ofototit“ pomocí funkce pro sejmutí screenshotu (je to možné jak v iOSu, tak v Androidu) – odesílatel by se ale o tom měl dozvědět, aby si případně rozmyslel další posílání důvěrných fotografií.

UX17

Zjištěné bezpečnostní nedostatky znamenají, že kdokoliv s dostatkem času může pomocí API zjistit telefonní čísla a jména všech uživatelů Snapchatu – API totiž nijak neomezuje automatické využití pro dolování dat. Získaná data je možné dál využít, včetně automatizovaného zakládání falešných účtů.

Nejde o první objev bezpečnostních nedostatků Snapchatu – v květnu se zjistilo, že fotografie smazané v telefonu tak úplně smazené nejsou a je možné je najít v souborovém systému. Což se dá s ohledem na zásadní vlastnost Snapchatu, tedy poslání fotografií tak, aby nemohly být ukládány a dále využívány, hodnotit jako poměrně zásadní selhání. V App Store se dokonce objevila aplikace Snap-Hack, která dokázala přístup ke „smazaným“ fotografiím výrazně zjednodušit.

Našli jste v článku chybu?
28. 12. 2013 13:53
Niki Lauda (neregistrovaný)

"...nedostatky v API, které umožňují zjistit telefonní čísla a uživatelská jména uživatelů"

To je dost nepřesné. Původní zpráva informuje o tom, že služba má API, kterého se můžete zeptat, zda nějaké telefonní číslo je už v SnapChatu registrované. Problém je v tom, že toto API nemá žádná omezení a s dostatečně silnou linkou je možné prostě hrubou silou zkoušet všechna telefonní čísla. Což by ale jenom pro americké uživatele trvalo minimálně řadu měsíců a to je pořád dost optimistický odhad. Nav…