AndroidとiOS APIで取得できるSnapchatの名前、エイリアス、電話番号

オーストラリアの研究者によって発行された「Snapchat Security Advisory」によれば、Snapchatアカウントはプライベートであっても、SnapchatのAndroidとiOS APIを介して、別名と電話番号を発見して収穫することができます。

Gibson Securityは、安全ではない暗号化の実践(すべてのユーザーに2つの暗号化キー)とアプリ内広告のコードと考えられるものを含む、人気のある写真とビデオの共有アプリケーションをリバースエンジニアリングして、

Gibson Securityは、「逆のAPIは、AndroidだけでなくiOSにも使用されるだけでなく、どちらのプラットフォームも脆弱です」とウェブサイトに通知しています。

このウェブサイトはコメントのためにSnapchatに連絡しており、この記事を適宜更新します。

研究者によれば、Snapchat APIを使用することで、悪質なエンティティは電話番号を生成する自動化されたプログラムを作成して、Snapchatデータベースを徹底的に検索することができます。

Gibson Securityはこれを「Find Friends Exploit」と呼びます。

電話番号がSnapchatユーザーのレコードと一致すると、悪質なエンティティはユーザー名、関連する表示名、およびアカウントが非公開かどうかを示すレコードを取得します。 「これを行うと、人の電話番号とそのSnapchatアカウントとの間に1対1のリンクを作ることができます。ハンディフィーチャ?はい、簡単に悪用可能ですか?

“Find Friends Exploit”では、セキュリティ会社はウェブサイトへの懸念を説明し、

インターネットのトロールとストーカーは、この情報を使用して実際の人を悩ませ、Snapchatが提供する匿名性とプライバシーを覆すことができます。

私たちの最も恐ろしい部分は、Snapchatの名前、電話番号、および場所のデータベースを第三者に販売するためだけに、このエクスプロイトを大規模に活用する可能性です。

ほとんど仕事がなければ、悪意のある当事者が大量のデータを盗み出し、民間の市場に売却する可能性があり、それは非常に違法です。

Gibsonのセキュリティアドバイザリーでは、「Snapchatは、HTTPの上ではかなりシンプルな(まだ奇妙に実装されている)プロトコルを使用していますが、これらの問題に必要なものだけは明らかにしませんが、私たちはプライバシーを意識しており、私たち自身のサービスを利用しています。

ウェブサイトはGibson Security(以下「GibSec」)に、セキュリティ問題を報告するためにSnapchatに連絡していれば尋ねました。

GibSecはウェブサイトに「Snapchatは簡単に把握するのは簡単ではなく、Snapchatでソフトウェア開発者の立場を申請しようとしましたが、アプリケーションのセキュリティとパフォーマンスを向上させるのには喜んで役立つが、回答は得られませんでした。

ギブソンセキュリティのアドバイザリーページでは、GibSecのAPI実装を使用すると悪い俳優が、送信されたメディア、DoS(サービス拒否)Snapchatユーザーを節約し、ユーザー名と電話番号のデータベースを構築し、名前を別名に簡単に接続できると信じているソーシャルメディアアカウントをSnapchatのアイデンティティに結びつけることができます。

研究者らは、誰かがSnapchatのサーバーにアクセスできると、送信されたスナップを簡単に表示、変更、または交換できると信じていると主張している。

セキュリティ:FBIがFUDを超えてどのように移行するか、イノベーション、M2M市場がブラジルに戻ってくる、セキュリティ、FBIがCrackasのメンバーを逮捕、米国の政府関係者をハッキングした姿勢、セキュリティ、Wordpress重要なセキュリティホールを修正するようになりました

GibSecは次のように書いています。「数行のPythonを使用すると、誰かがあなたの未読メッセージをすべて見ることができ、状況によっては、画像を変更したり、置き換えたりすることもできます。

Snapchatは人気のあるAndroidやiOSアプリケーションで、特に若いユーザーには人気があります。また、性的なコンテンツの共有は望ましくないため、Snapchatの状態が10秒以内に消える写真、ビデオ、メッセージを交換します。

現在、Google Playには、Snapchat Androidアプリが10,000,000〜50,000,000回インストールされていると記載されています。 6月にSnapchatはVC資金調達で6,000万ドル以上を調達し、8億ドルの評価を行った。

Snapchatの評価の1ヶ月前に、Decipher ForensicsのRichard Hickmanも同様に、Snapchatの写真が実際には消えないことを証明し、法医学ソフトウェアを使用しても期限が切れた後も画像を取り出せることを実証した。

Snapchatの法令執行ガイドには、ファイルが受信者によって表示されない場合、ファイルがSnapchatのサーバーに30日間残っており、そのサーバーは過去200回の送受信スナップを記録していますが、実際のコンテンツは保存されていない。

Gibsonの文書によると、Snapchatは、すべてのユーザーに簡単に検出可能な2つの暗号化キーを使用しています.1つは最近の追加です。

スナップは、ECBモードのAESを使用して暗号化されます。

これはおそらく暗号化の最も効果的なモードの1つであり、平文の同一ブロックは暗号文の同一ブロックに暗号化される。

確かに、これは同じ暗号鍵を使用する場合にのみ問題になり、次の点につながります。

スナップは対称鍵暗号を使用して暗号化されています。

キーはAndroidとiOSの両方のアプリで同じで、誰かがそれを見つけるのを待っているだけです。

Gibson Securityは、Snapchatの暗号化で見つかったと主張する問題は、安全な伝送とデータ暗号化の不足が公開された後でなければならないと考えています。

GibSecは、ユーザが生成しない侵入的なタイムライン「スナップ」のためのコードとして、もう一つの発見をしたと語った。

Androidクライアントの最新の変更をブラウズしていましたが、私たちは目を引く新しい追加機能を見つけました。

更新されたSnapchatアプリケーションには、ユーザーのネイティブブラウザで表示されたURLがダブルクリックされたときに非表示になる永続的な通知(メディア通知と同様の形式で表示)を実行するコードが含まれており、Gibson Securityサービス全体の通知と広告に使用されると考えています。

GibSecは、Snapchatの宣伝用のコードで、これからの広告の実装については、広告の実装がSnapchatユーザーを混乱させてしまうと考えていると言います。研究者らは、

彼らはかなり目立つので、間違いなくユーザを困らせることになる。フィードのトップに浮かぶ(…)

あなたはそれらを開くことによってそれらを却下することができます – これは、アプリからあなたを取り出します、それは遅いデバイスを持つユーザーのために時間がかかるかもしれません。

オーストラリアに本拠地を置くセキュリティ会社は、Snapchatがどのようにしてアドバイザリーのセキュリティ問題を修正し、GibSecの調査結果に記載されている脆弱性からユーザーを守ることができるかをウェブサイトに伝えました。

Snapchatは、APIで厳密なレート制限を実装する必要があります。また、内部監査と外部監査など、zineの下部に記載されているその他の対策も検討してください。

セキュアでないメディアの転送を防ぐため、Snapchatはサービスで使用される暗号化技術を変更する必要があります。監査は、通常のエンジニアではなく暗号化技術者が行うのが望ましいです。

結論として、Gibson Securityは、Snapchatが典型的な早期立ち上がり圧力下で迅速に動作する可能性が最も高いと判断し、短期間でスタートアップに役立つ意思決定を行いますが、ユーザーセキュリティに関して長期的な考え方の投資を見落としています。

ウェブサイトはSnapchatからのコメントと説明を待っています。

セキュリティの基礎を再考する:FUDを超えて移動する方法

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す