L'empresa de seguretat publica dos exploits de Snapchat

Un equip de seguretat australià va publicar aquesta setmana dues noves explotacions de Snapchat, afirmant que els pirates informàtics poden posar fàcilment les mans sobre les dades personals dels usuaris i crear cúmuls de comptes falsos.



Seguretat Gibson va publicar l'API de Snapchat i el parell d'explotacions el dia de Nadal, obrir l'aplicació de missatges de desaparició de la popular startup a qualsevol persona que vulgui perseguir els 8 milions d'usuaris de l'aplicació.

i9 9900ks vs i9 9900k

Segons els investigadors de Gibson, els noms, els àlies i els números de telèfon de Snapchat es poden recollir mitjançant l'API d'Android i iOS. I no creieu que el vostre compte privat està exempt: fins i tot els usuaris confidencials poden ser piratejats.





Snapchat no va respondre immediatament a una sol·licitud de comentari.

L'empresa de seguretat, però, va dir a Garon que 'Snapchat haurà de treballar per millorar [la seva] seguretat de les dades dels usuaris'.



'El publicació recent al blog van demostrar que realment no faran això, descartant-ho com un atac 'teòric', va dir un portaveu, i va afegir que Snapchat 'va indicar que no tenen plans per corregir la nostra vulnerabilitat i que la seguretat ha 'millorat' durant el període. els últims 12 mesos.'

El primer script publicat de Gibson, conegut com a 'Find Friends Exploit', obre l'API de Snapchat per utilitzar-la en un programa automatitzat que cerca de manera exhaustiva els usuaris de Snapchat i, a continuació, coincideix i mostra números de telèfon.

L'equip va aconseguir navegar per 10.000 números de telèfon en uns set minuts en una línia gigabit en un servidor virtual. Gibson creu que podria reduir aquesta taxa de retorn a uns 6.666 números de telèfon per minut. Amb aquesta velocitat, segons l'informe de juny de Snapchat de 8 milions d'usuaris, l'equip d'investigació va dir que trigaria unes 20 hores a un servidor virtual de 10 dòlars per trobar el número de telèfon de cada usuari, suposant que tots els números són americans.

'Evidentment (afortunadament?) aquest no és el cas', va escriure Gibson a la seva presentació d'explotació. 'No obstant això, fa por pensar-hi, no? Passant pels codis d'àrea especialment 'rics' d'Amèrica, les possibles entitats malicioses podrien crear grans bases de dades de números de telèfon [i.e. comptes de Snapchat] en minuts'.

Tant l'explotació Find Friends com el pirateig de registre massiu de Gibson es van informar a l'agost, però s'han mantingut sense canvis durant quatre mesos. Però la solució és senzilla, segons els investigadors de seguretat, que van dir que el problema es podria corregir amb 10 línies de codi.

'Han tingut quatre mesos, si no poden reescriure deu línies de codi en aquest temps haurien d'acomiadar el seu equip de desenvolupament', va dir Gibson a ZDNet. 'Aquest exploit no hauria aparegut si seguissin les millors pràctiques i se centressin en la seguretat (que haurien de ser, tenint en compte els casos d'ús de l'aplicació).'

tauler cherry mx 3.0 s

Popular entre els adolescents, l'aplicació permet als usuaris compartir amb els amics fotos o missatges de vídeo que duren només uns segons, abans que suposadament s'eliminin per sempre. Els usuaris estableixen un límit de temps durant el qual el destinatari pot veure el missatge, fins a 10 segons, abans que s'esborri de l'aplicació.

La startup va aterrar a l'aigua calenta l'any passat quan es va trobar Snapchat i Poke de Facebook per emmagatzemar localment còpies de vídeos compartits, accessibles amb un navegador de fitxers d'iPhone gratuït.

Nota de l'editor: Aquesta història es va actualitzar dilluns amb un comentari de Gibson Security.

Recomanat