Дыра безопасности в популярном сервисе отправки фото-сообщений Snapchat может позволить атакующим узнать номера телефонов многих пользователей за короткий промежуток времени, как сообщает Gibson Security – исследовательская группа по компьютерной безопасности.
Исследователи опубликовали как доказательство код, который использует легитимную особенность Snapchat API (программный интерфейс приложения), называемый «найди друзей», чтобы взаимодействовать с большим количеством телефонных номеров и сопоставлять их аккаунтам Snapchat. Gibson Security впервые раскрыла эту уязвимость в августе, вместе с другими проблемами, которые она обнаружила после обратной расшифровки интерфейса Snapchat – протокола, используемого клиентами приложения для Androis и iOS, чтобы взаимодействовать с серверами компании.
Snapchat – это популярное приложения отправки сообщений, позволяющее пользователям делиться фотографиями, видео и рисунками. Лучше всего она известна опцией самоуничтожения фото, когда отправитель может определить период в несколько секунд, после которого картинка, просмотренная получателем автоматически удаляется.
Исследователи решили выпустить две вредоносных программы на 25 декабря для опции «найди друзей» и отдельной опции, так как по их словам, компания не смогла решить эту проблему на протяжении четырех месяцев. Первый эксплоит – это скрипт на Pyton, который может повторяться сквозь определенное количество номеров и поставлять аккаунт Snapchat, демонстрируя имена, ассоциированные с этими номерами.
«Мы произвели несколько расчетов «на коленке», основанные на переработке номеров, которую мы провели (в неиспользуемом наборе номеров)», сказали исследователи. «Мы смогли обработать около 10 000 телефонных номеров (весь подраздел формата американского телефонного номера (XXX) YYY-ZZZZ – номера ZZZZ были обработаны приблизительно за 7 минут на гигабайтной линии виртуального сервера)».
Исследователи оценивают возможности атакующих в тестировании как минимум 5 000 номеров за минуту. «За месяц вы можете переработать приблизительно 292 млн. номеров на одном сервере», говорят они. «Добавьте еще серверов (таким образом увеличивая возможности переработки) и вы можете обработать практически неограниченное количество номеров. Не похоже на то, что Snapchat попадет в «бутылочное горлышко» в этом процессе, так как он запущен на Google App Engine, который в плане возрастающей нагрузки прет как танк. Если рассматривать довольно большое количество местных кодов в США, то зловредные программы могут насобирать большую базу номеров и соответствующих им аккаунтов Snapchat за считанные минуты».
Опция «найди друзей» обычно используется приложениями Snapchat, чтобы помочь пользователям отыскать друзей, сравнивая телефонные номера в адресных книгах, и то, совпадают ли они с аккаунтами Snapchat. По словам исследователей, решение, которое бы предотвратило неправильное использование API состоит в ограничении количества запросов.
Второй проблемой, обнаруженной специалистами Gibson Security становится слабое ограничение на регистрацию в Snapchat новых аккаунтов, что позволяет атакующему зарегистрировать новые аккаунты в большом количестве через API. Отдельный скрипт, автоматизирующий этот проесс, также был выпущен компанией.
В настоящее время Snapchat не комментирует создавшуюся ситуацию.
Ваше мнение