USD 68 ЕВРО 76.76

Исследователи опубликовали эксплойт для Snapchat, который позволяет подобрать номер телефона

Экономика

Были опубликованы недокументированный API приложения Snapchat и коды двух эксплойтов, позволяющие массовый подбор соответствия имени/номера телефона и массовое создание фиктивных аккаунтов.
 
SnapchatSnapchat — популярное приложение для устройств iPhone и Android. Хакеры позаботились, чтобы популярное приложение обмена фотографиями Snapchat получило «добрый кусок угля» на Рождество — достойный подарок от Санты за плохое поведение.

После того, как его раскрытые уязвимости игнорируются с августа, Gibson Security  опубликовала ранее недокументированные возможности разработчиков Snapchat (API) и код  двух эксплойтов, которые позволяют массовый подбор соответствия телефонных номеров с именами и массового создания фиктивных аккаунтов.

Австралийские хакеры опубликовали API Snapchat и эксплойты через  Twitter в канун Рождества.

Теперь любой желающий может построить точный клон API Snapchat и преследовать 8млн пользователей популярного приложения.

Snapchat является популярным приложением для Android и iOS, особенно у младших пользователей, и имеет репутацию обмена контентом сексуального рода. Приложение позволяет пользователям обмениваться фотографиями, видео и сообщениями, которые  исчезают в Snapchat через 10 секунд или меньше, как только они открываются.

Google Play в настоящее время показывает, что приложение Snapchat для Android было установлено от 10 до 50млн раз. В июне Snapchat собрала более $60 млн венчурного финансирования с оценкой в $800 млн.

Имена Snapchat, псевдонимы и номера телефонов могут быть обнаружены и собраны с помощью Snapchat API для Android и iOS, даже если учетная запись пользователя является приватной.

Gibson Security заявляет, что метаданные могут быть использованы в сочетании с другими API, чтобы «автоматически создавать профили пользователей, которые можно дорого продать».
«Возможно разработать сервис, где вы могли бы заплатить несколько долларов и получить номер телефона и социальный медиа профиль человека, просто по его имени пользователя».
Это также может быть использовано для целенаправленного обмана и для преследования.
«Вы можете найти номер телефона кого-то за минуты, если вы знаете примерную область, в которой живёт человек».

Snapchat в ноябре отклонил предложение Facebook о покупке за $3 млрд, что только подчёркивает ценность базы данных пользователей.

Эксплойт «Найти Друзей» и эксплойт  «Массовая регистрация»

Код, опубликованный сегодня Gibson Security, является полностью функциональным.
Первый скрипт, известный как эксплойт «find_friends», берёт список телефонных номеров, который может сгенерировать, и «получает имя любого пользователя Snapchat, имеющего номер телефона из списка».

С ныне опубликованным эксплойтом «Поиска друзей» злоумышленник может использовать Snapchat API для написания автоматизированной программы, которая генерирует номера телефонов, чтобы исчерпывающе поискать по базе данных Snapchat-пользователей. Это позволяет им получить связь между номером телефона человека и их Snapchat-аккаунтом.
Когда телефон номер совпадает с записью пользователя Snapchat, можно получить запись, которая содержит имя пользователя, связанное отображаемое имя и определить — является ли учетная запись приватной или нет.

Эксплойт массовой регистрации, подобно эксплойту «Найти Друзей», использует известную уже четыре месяца уязвимость, но в настоящее время она официально опубликована.
Gibson Security объясняет: «Массовая регистрация может быть использована для создания тысячи аккаунтов, которые могут быть использованы для ускорения описанного выше процесса, или, возможно, для спама».

Подчёркивается, что опасность приватности пользователя, компания обнаружила в августе.
«Использование может представлять случай, когда злоумышленники хотят преследовать кого-то. Для этого можно было бы снять информацию на домашнем компьютере за полдня с достаточным количеством информации». «Так что да, это довольно плохо».

Можно было бы исправить «десятью строками кода»

Snapchat знает об этой проблеме безопасности, поскольку Gibson Security уведомил компанию в августе. Затем он опубликовал рекомендации по улучшению безопасности в том же месяце, но никакого ответа или действия со стороны стартапа не последовало.

В переписке по электронной почте, он объясняет как заделать дыру в безопасности десятью строками кода:

«[Snapchat могла бы это исправить], добавив ограничение скорости; Snapchat может ограничить скорость, кто-то может сделать это, но пока они не переписали код, они уязвимы У них были четыре месяца, если они не могут переписать десять строк кода за это время, они должны уволить свою команду разработчиков. Этот эксплойт не появился бы, если бы они следовали передовому опыту и сосредоточились на безопасности (которая должна быть, учитывая случаи использования приложения)».

Хакеры с помощью реверс-инженерии API Snapchat для Apple iOS и Android в августе выявили бреши в безопасности, которые позволяют этот тип вредоносных атак на Snapchat и его пользователей.
Snapchat не ответил хакерам, когда они уведомил компанию.

Хакеры: Snapchat «солгал прессе и инвесторам»

Gibson Security заявила в своем релизе, что у них есть доказательства того, что маркетинговые претензии Snapchat не являются правдой.
Хакеры говорят, что заявление Snapchat прессе и инвесторам о том, что большинство их пользователей — женщины, не может быть правдой.

Он пояснил, что если Snapchat не получил эту информацию от аналитической компании, такой как Nielsen,  «не существует способа, которым они могли бы получить эту информацию».

Он добавил: «Эта ссылка является сообщением, посылаемым клиентам Snapchat при регистрации, вы видите упоминание пола? Так что заявление о том, что 70% пользователей Snapchats — женщины, не имеет никакого смысла».

В самом деле, если заявление Gibson Security является правильным, теперь любой, кто воспользуется реверс-инжинирингом API Snapchat может написать скрипт для регистрации десятков или сотен тысяч фальшивых аккаунтов. Невозможно знать, какой процент аккаунтов Snapchat настоящие.

Хакеры устали от игнорирования Snapchat исследователей в области безопасности

«Мы обнаружили несколько эксплойтов (некоторые из которых не вышли) и в конце концов решили выпустить их в первоначальном раскрытии (27/08/2013)», сказали Gibson Security.
Тестирование (на неиспользуемых диапазонах) позволило сканировать 10k телефонных номеров за 7 минут на гигабитной линии, которая может быть легко улучшена для сканирования 10k примерно за полторы минуты.

С записями 8млн пользователей Snapchat можно просканировать всю пользовательский базу Snapchat за 20 часов на гигабитной линии по следующей формуле:

часы = база_пользователей / 10000 * 1,5 / 60

(Примечание, формула  довольно занижена, в связи с требованием, чтобы  каждый  телефонный номер пользователей Snapchat был расположен в последовательности, но 20 часов – это ничего, особенно, когда вы можете ориентироваться на конкретные области диапазонов  телефонных номеров).

Операция будет стоить всего $10 за сервер, а если добавить больше, это резко сократит время.

$50 – небольшая инвестиция для тех, кто хочет быть в состоянии связать имена  пользователей (и социальные медиа профили, которые связаны с этими именами) и  телефонные номера. Это позволит вам просматривать базу данных через жалкие 4 часа.
За целый месяц с вашими пятью гигабитными соединениями и $50, которые вы заплатили провайдеру сервера, вы можете сканировать 1460000000 номеров Snapchat.
номера = (((730 * 60) / 1,5) * 10000) * серверы)

(В месяце 730 часов, изменяем количество серверов до 5, чтобы получить наш результат)