Hlavní navigace

API Snapchatu umožňuje zjišťovat data o uživatelích, firma varování ignorovala

Daniel Dočekal 27. 12. 2013

Nedostatky v API umožňují přístup k informacím o uživatelích chatovací služby Snapchat. Ta je oblíbená hlavně mezi mládeží.

Společnost Gibson Security již v září upozornila Snapchat na nedostatky v API, které umožňují zjistit telefonní čísla a uživatelská jména uživatelů. Společnost ale chybu nenapravila a Gibson Security přistoupili k dalšímu kroku – plnému zveřejnění API (viz Snapchat – GibSec Full Disclosure) a upozornění na zjištěné bezpečnostní nedostatky. Vedle již zmíněného problému navíc API umožňuje hromadné registrování uživatelských účtů.

Kolik má Snapchat uživatelů, není známo, provozovatelé zatím čísla nezveřejnili. Vypustili do světa jen to, že většina uživatelů má mezi 13 a 25 lety (a 70 % z toho jsou ženy, což mimochodem Gibson Security zpochybňuje na základě toho, že Snapchat žádné  informace o uživatelích nemá) a že denně pošlou 400 milionů zpráv.

Snapchat hraje významnou roli mezi mladými lidmi – umožňuje totiž poslat fotografii či video a nastavit omezení, jak dlouho se příjemce na přijatou zprávu smí dívat. Po uplynutí této doby (několik sekund) se přijatá zpráva smaže (a nezůstává zachována ani u odesílatele, pokud si ji ručně neuloží). Právě toto zdání bezpečnosti stojí za rostoucí popularitou služby, včetně častých zmínek o tom, že uživatelé Facebooku utíkají právě sem.

Snapchat v poslední aktualizaci zavedené pořádky trochu narušil: přijaté zprávy totiž bude možné vidět opakovaně, byť i zde budou stále platit omezení. Je nutné dodat, že příjemce fotografie si ji samozřejmě může „ofototit“ pomocí funkce pro sejmutí screenshotu (je to možné jak v iOSu, tak v Androidu) – odesílatel by se ale o tom měl dozvědět, aby si případně rozmyslel další posílání důvěrných fotografií.

Zjištěné bezpečnostní nedostatky znamenají, že kdokoliv s dostatkem času může pomocí API zjistit telefonní čísla a jména všech uživatelů Snapchatu – API totiž nijak neomezuje automatické využití pro dolování dat. Získaná data je možné dál využít, včetně automatizovaného zakládání falešných účtů.

Nejde o první objev bezpečnostních nedostatků Snapchatu – v květnu se zjistilo, že fotografie smazané v telefonu tak úplně smazené nejsou a je možné je najít v souborovém systému. Což se dá s ohledem na zásadní vlastnost Snapchatu, tedy poslání fotografií tak, aby nemohly být ukládány a dále využívány, hodnotit jako poměrně zásadní selhání. V App Store se dokonce objevila aplikace Snap-Hack, která dokázala přístup ke „smazaným“ fotografiím výrazně zjednodušit.

Našli jste v článku chybu?

28. 12. 2013 13:53

Niki Lauda (neregistrovaný)

"...nedostatky v API, které umožňují zjistit telefonní čísla a uživatelská jména uživatelů"

To je dost nepřesné. Původní zpráva informuje o tom, že služba má API, kterého se můžete zeptat, zda nějaké telefonní číslo je už v SnapChatu registrované. Problém je v tom, že toto API nemá žádná omezení a s dostatečně silnou linkou je možné prostě hrubou silou zkoušet všechna telefonní čísla. Což by ale jenom pro americké uživatele trvalo minimálně řadu měsíců a to je pořád dost optimistický odhad. Nav…

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: E-Ježíšek si i letos zařádí. Nákupy od 2 do 5 tisíc

E-Ježíšek si i letos zařádí. Nákupy od 2 do 5 tisíc

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte