Hlavní navigace

API Snapchatu umožňuje zjišťovat data o uživatelích, firma varování ignorovala

Daniel Dočekal

Nedostatky v API umožňují přístup k informacím o uživatelích chatovací služby Snapchat. Ta je oblíbená hlavně mezi mládeží.

Společnost Gibson Security již v září upozornila Snapchat na nedostatky v API, které umožňují zjistit telefonní čísla a uživatelská jména uživatelů. Společnost ale chybu nenapravila a Gibson Security přistoupili k dalšímu kroku – plnému zveřejnění API (viz Snapchat – GibSec Full Disclosure) a upozornění na zjištěné bezpečnostní nedostatky. Vedle již zmíněného problému navíc API umožňuje hromadné registrování uživatelských účtů.

Kolik má Snapchat uživatelů, není známo, provozovatelé zatím čísla nezveřejnili. Vypustili do světa jen to, že většina uživatelů má mezi 13 a 25 lety (a 70 % z toho jsou ženy, což mimochodem Gibson Security zpochybňuje na základě toho, že Snapchat žádné  informace o uživatelích nemá) a že denně pošlou 400 milionů zpráv.

Snapchat hraje významnou roli mezi mladými lidmi – umožňuje totiž poslat fotografii či video a nastavit omezení, jak dlouho se příjemce na přijatou zprávu smí dívat. Po uplynutí této doby (několik sekund) se přijatá zpráva smaže (a nezůstává zachována ani u odesílatele, pokud si ji ručně neuloží). Právě toto zdání bezpečnosti stojí za rostoucí popularitou služby, včetně častých zmínek o tom, že uživatelé Facebooku utíkají právě sem.

Snapchat v poslední aktualizaci zavedené pořádky trochu narušil: přijaté zprávy totiž bude možné vidět opakovaně, byť i zde budou stále platit omezení. Je nutné dodat, že příjemce fotografie si ji samozřejmě může „ofototit“ pomocí funkce pro sejmutí screenshotu (je to možné jak v iOSu, tak v Androidu) – odesílatel by se ale o tom měl dozvědět, aby si případně rozmyslel další posílání důvěrných fotografií.

MIF17

Zjištěné bezpečnostní nedostatky znamenají, že kdokoliv s dostatkem času může pomocí API zjistit telefonní čísla a jména všech uživatelů Snapchatu – API totiž nijak neomezuje automatické využití pro dolování dat. Získaná data je možné dál využít, včetně automatizovaného zakládání falešných účtů.

Nejde o první objev bezpečnostních nedostatků Snapchatu – v květnu se zjistilo, že fotografie smazané v telefonu tak úplně smazené nejsou a je možné je najít v souborovém systému. Což se dá s ohledem na zásadní vlastnost Snapchatu, tedy poslání fotografií tak, aby nemohly být ukládány a dále využívány, hodnotit jako poměrně zásadní selhání. V App Store se dokonce objevila aplikace Snap-Hack, která dokázala přístup ke „smazaným“ fotografiím výrazně zjednodušit.

Našli jste v článku chybu?