Hlavní navigace

The Snappening: fotky ve Snapchatu nemohou být soukromé. Ne – mo – hou.

Daniel Dočekal

Přes 200 tisíc velmi soukromých fotografií získaných z účtů uživatelů Snapchatu se objevilo na Internetu. Snapchat to hází na hloupé uživatele.

Po úniku fotografií nahých celebrit z iCloudu je tu další únik. Masivní a očekávatelný. Přes 200 tisíc velmi privátních fotografií (tak soukromých, že jejich vlastnictví je v USA otázkou pornografie) se objevilo na serveru 4chan. Bez ohledu na to, jak hodně děti uvěřily ujišťování Snapchatu o tom, že jimi posílané fotografie nemůže nikdo získat, se navíc značné množství se týká právě osob ve věku 13 až 17 let. A podle amerických zákonů je vlastnictví i šíření něčeho takového dost jistá cesta do vězení.

Snapchat samotný velmi pravděpodobně hacknut nebyl, a tvrzení tiskové mluvčí v tomto ohledu můžeme věřit. Neznámým hackerům se fotky podařilo získat prostřednictvím řady aplikací, které uživatelé používají nejčastěji proto, aby si bez vědomí odesílatele mohli fotografie ukládat. V médiích je jako pravděpodobný původce uváděna aplikace Snapsave, která měla být hacknuta.

Snapchat to hází na uživatele

Snapchat v reakci pro média vše klasicky hází na uživatele a tisková mluvčí poskytla opravdu originální vyjádření, ve kterém uvádí, že za všechno mohou právě uživatelé, protože používají aplikace, jejichž používání přece Snapchat zakazuje v Podmínkách užívání.

Snapchatters were victimized by their use of third-party apps to send and receive Snaps, a practice that we expressly prohibit in our Terms of Use precisely because they compromise our users’ security

Připomeňme, že Snapchat je aplikace, která od počátku slibuje, že můžete někomu poslat fotografii, která se do určitého počtu sekund po obdržení sama zničí a není možné ji uložit. A pokud ji příjemce získá pořízením snímku obrazovky, tak se o tom odesílatel dozví. Což mimochodem na počátku Snapchat neřešil a později se mnohokrát ukázalo, že něco takového hatí bezpečnostní chyby, včetně toho, že fotky byly stejně ukládány a v telefonu se k nim dalo dostat.

The Snappening ale není až tak hack

Událost, která je v médiích označována jako „The Snappening“, ale nakonec není až tak jasná. Stejně jako i předchozí únik fotek celebrit je totiž nejisté, odkud vlastně fotografie pochází. Soubor 13 GB fotografií, které bylo dokonce možné prohledávat podle jména uživatele na Snapchatu, totiž podle některých možná nevznikl jenom sbíráním fotek pomocí aplikace třetí strany.

Na úniku se navíc přiživují už i další útočníci. Zmíněná prohledávatelná databáze byla hostována na ViralPop.com (web plný falešných soutěží) a jako vedlejší efekt se stránka pokoušela napadnout počítače těch, co přicházeli fotografie hledat.

V médiích se ale spekuluje i nad tím, že řada fotografií pochází z některého z dřívějších úniků – Snapchat už několikrát potýkal z bezpečnostními problémy, takže je skutečně otázkou, nakolik nejde jenom o další chytré využití něčeho, co je už delší dobu k dispozici. Případně, že si někdo dal práci a shromáždil všechny fotografie, které jiní lidé nahráli na Internet. Právě 4chan i další podobné weby jsou plné snímků, které tam nahrávají jak původci, tak příjemci fotografií.

Množství aplikací umožňující uložit fotografie

Snapsave (www.snapsaveandroid.com) je jednou z aplikací, která je uváděna jako možný zdroj úniku fotografií. Stejně jako u dalších podobných jde o aplikací přímo pro mobilní telefon (zde Android), která umožňuje obejít zablokované ukládání fotek a snímky bez vědomí jejich odesílatelů ukládá. V minulosti ji bylo možné najít na Google Play (zde), dnes je nabízená pouze jako APK k vlastní manuální instalaci do telefonu.

Tvůrci Snapsave každopádně popírají, že by fotografie mohly uniknout skrz jejich aplikaci. Navíc ještě tvrdí, že „nikdy nelogovali jména uživatelů ani hesla“ a že neukládali fotografie uživatelů někde na svých serverech.

Business Insider zmiňuje, že hacknutým webem má být www.SnapSaved.com – webový klient, který měl umožnit používat Snapchat bez aplikace na mobilu. Právě zde měly být ukládány všechny fotografie, včetně připojeného jména uživatele. Web už nakolik měsíců nefunguje a adresa přesměrovává na dánský e-shop. A čistě náhodou řada z uniklých fotografií obsahuje dánský text.

Bezprecedentní míra naivity

Internet je veřejné místo a fotografie či videa nahrané na Internet jsou nahrávány do veřejného prostoru. Bohužel, dokud budou existovat firmy jako Snapchat či Facebook, které někomu slibují chiméru soukromí a bezpečí, bude docházet k podobným událostem.

Na Snapchatu je velmi nebezpečné to, že lžím o bezpečném prostředí a mazání fotek uvěřily hlavně děti, které dříve podobná prohlášení nevěřily Facebooku. Proto se nakonec vydaly na Snapchat a na všechny strany posílají fotografie, které rozhodně nejde označit za „vhodné pro veřejnost“.

Snapchat samotný má částečně pravdu v tom, že pokud někdo používá aplikaci třetí strany, není možné ovlivnit, co se děje s přijatými fotografiemi – tyto aplikace totiž plně nahrazují oficiální aplikaci. Nic se ale nemění na tom, že je to Snapchat, kdo u uživatelů vybudoval falešný pocit bezpečí. A také je to Snapchat, který umožňuje těmto aplikacím přístup k vlastním serverům.

Našli jste v článku chybu?

14. 10. 2014 15:39

jdu jen kolem (neregistrovaný)

Hm, tak jistě, reverznim inzenyrstvim rozeberete kde co, ale jedna vec je psat apku proti verejnemu api, druha proti neverejnemu (icq napr) a treti rozebirat hardwerovej security token.

14. 10. 2014 14:18

adx (neregistrovaný)

Vzhledem k tomu že pan Dočekal kdysi nejspíše programoval by mne zajímal jeho názor na to, jak může provozovatel nějaké aplikace typu klient-server zabránit užvateli, který si chce naprogramovat a provozovat vlastního alternativního klienta z prostředí, které má uživatel plně pod kontrolou?

I kdyby dal do protokolu nějakou formu šifrování a podepisování, nevidím způsob, jak uživateli zabránit, aby si z oficiálního klienta vyčetl příslušně algoritmy a vytáhl klíče.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Bižuterie tisícinásobně překračuje povolené limity

Bižuterie tisícinásobně překračuje povolené limity

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět