Ist Snapchat inoffizielle API kaum zu wohl zu hacken?
14.10.2014 15:29
Ist Snapchat inoffizielle API kaum zu wohl zu hacken?
Ende Freitag, Zehntausende von Bildern gezogen ungenießbar eine Drittanbieter-App Snapchat kursierten im Internet, die Erhöhung Privatsphäre Alarme und Zeichen anderen Bericht des angeblich vorübergehende Charakter der weit verbreiteten Foto-Sharing-App. Snpachat schnell, um das Rätsel erklärt war nicht ihre eigene Sicherheit. "Wir können so Snapchat-Servern bestätigen in keiner Weise verletzt und waren nicht die Quelle dieser Lecks", ein Snapchat illustrativen angenommen beliebte einer Erklärung. "Snapchatters wurden von einem Remis in der dritten misshandelt Apps senden und empfangen Snaps, eine Praxis, so dass wir uns ausdrücklich verbieten beliebt unsere Maßgaben der Auslosung am genau so, wie sie die Sicherheit unserer Nutzer zu kompromittieren. Wir beobachten aufmerksam die App sammeln und Google eine Rolle spielen anstelle von illegalen Drittanbieter-Anwendungen und nehmen an gelang es immer beliebter viele dieser unbeteiligt. "
An die Stelle der vielen, aber die Frage ist, ob Snapchat hat ausreichend durch die Sicherung im Gegensatz zu nicht verbundenen Anwendungen auf technischer Ebene über seine Nutzer zu beobachten. Die größte Schwall ist, um so Snapchat hat nix legitimen API, aber die inoffizielle Einzel ist ein Aufrechnung Geheimnis weit über den Dschungel umgewälzt. so zu verarbeiten Snapchat ist Voraussetzung für andere Unternehmen wie Apple und Google, um letztlich Patrouille, welche Anwendungen sicher und bestehende. Seit 2012 Sicherheitsforscher Adam Caudill hat warn, um das Unternehmen API hatten, sind mehrere schwerwiegende Sicherheitslücken, nehmen Sie etwas zahlreiche andere Forscher an entsandte.
Wir sprachen mit einem Entwickler, Alex Forbes-Reed, der sagt, er habe nix Streit kürzlich Reverse-Engineering Snapchat API anstelle seines eigenen Anspruch, und er vermutet, es war wohl an Ort und Stelle von Ingenieuren an der Seite SnapSaved, die Quelle der die angeblich gestohlenen Fotos, um die gleichen Faktor vorzubereiten. (SnapSaved hat anerkannt, so dass es gehackt wurde, auch wenn es die Menge der Daten bestreitet, um so gestohlen wurde.), was hast du gesagt? folgt, ist ein Interview mit Forbes-Reed nicht weit weg von seiner Erfahrung bauen eine inoffizielle Snapchat App.
Wie haben Sie Reverse-Engineering die Snapchat-API?
Ich die legitimen Snapchat App auf meinem iPhone installiert, kalibrieren sich ein Anspruch namens Charles auf meinem Laptop (dies ist ein Netto-Sniffer, erlaubt es mir, den gesamten Datenverkehr zu gewinnen, obwohl mein Netzwerk in Ihrem Haus beobachten) und eine benutzerdefinierte Zertifikat installiert (von Charles) auf meinem Gerät. um so Zertifikat Geheimsprache alle "sicheren" https-Verkehr zu gewinnen, durch mein Gerät wieder, die Charles (auf meinem PC erlaubt), um den verschlüsselten Datenverkehr zu beobachten und sicherzustellen, dass, was auf dem Spiel auf seinem Inneren.
In diesem Fall habe ich auf dem richtigen Weg mit dem Anspruch, wie üblich, und im Inneren Charles 'UI, kann ich sicherstellen, dass die Wünsche der Anspruch macht, und was hast du gesagt? Es sendet und empfängt jeden beliebt von Personen angenommen Wünsche.
"Der Moment, um Bild geht an die SNAPCHAT SERVER IST ES nix mehr reserviert."
Was haben Sie gesagt? Protections hat Snapchat Teil in beliebter Ort, um so zu verhindern?
Wie ich bisher angenommen, ist der gesamte Datenverkehr https (bereits besser als Instagram, überall ein Verbündeter von mir Stevie Graham fand einen Weg, um es über einen einzigen HTTP-Endpunkt zu nutzen), aber sie nehmen an einem binären Muster so wird verwendet, um zu generieren . ein einzigartiges Mittel an Stelle von jeder verlangen Gush ist diese binären Muster gespeichert beliebten den Anspruch und ist jedes Mal die gleiche Stelle in der einzelnen Benutzer - und jemand hatte bereits gebucht es online so dass ich noch nicht einmal zu schauen die iOS ausführbare, um die Mittel zu extrahieren - so von der Seite dieser Spitze, konnte ich kaum beginnen Verteilung wünscht snapchat und es hatte nix Sinn die Wünsche wurden nicht von den berechtigten Clients zu starten.
Was haben Sie gesagt? App, bevor Art von App, wurden Sie erstellen?
Es ist ein Drittanbieter-Client Snapchat anstelle von Windows Phone - nicht an einem gewissen Hautstruktur Snapchat nehmen nicht möchten, so können Sie nicht reißt, und den Rest zu retten.
Was haben Sie gesagt? Möglicherweise wird Snapchat nehmen an fertig, um Sie von dieser Belastung zu verhindern?
Beliebte Maßgaben der Zugriff auf die API, ist in der Nähe nicht viel sie möglicherweise an fertig zu nehmen. Vielleicht, wenn sie zum Einsatz von OAuth motiviert, es wäre an verlangsamte sich die Forscher, aber es an hielt sie nicht nehmen würde. Wenn Sie Blick von der Seite der Windows Phone "anzuhäufen statt Exemplar, es ist da nicht eine ernsthafte Menge an First-Party-Apps, aber die nehmen an gemacht Drittanbietern diejenigen sowieso. Jedes Unternehmen ist ein Opfer dieser angehenden Angriffsvektor.
"Es gibt immer noch beliebt NUTZT DIE API und es ist bis zu SNAPCHAT, um Personen zu etablieren zuvor SIE statt ausgebeutet."
Würde es nehmen an einer grundsätzlich obligatorisch vielfältige Architektur von Anfang an?
In der Nähe gibt Möglichkeiten Snapchat möglicherweise wird bereinigen ihre API, ohne Zweifel Version es, so dass sie möglicherweise die API ohne Verletzung früheren Versionen der Anspruch überarbeiten - .. Derzeit können sie nicht mehr als hacken auf verschiedenen Endpunkte / Variablen und, bei anwesenden jeder Schnapp, verschlüsselt es mit der gleichen AES bedeutet -. Nähe ist nicht viel, um so stattfinden kann beendet nicht weit weg von dieser zur gleichen Zeit, wie es wäre Unterstützung anstelle von älteren Kunden brechen hinzufügen geschwindigkeitsbegrenzenden Konten , so einziges Bankkonto können keine Spam-Nachrichten und Druckknöpfen. (Dies würde auf so kratzen sich wie zu grausigen snapchat Werbung Spam.)
Alle, so dass davon ausgegangen werden, wenn Sie den aktuellen Stand der Snapchat Sicherheits, was tat Vergleichen Sie sagen, es war sogar sechs Monate in der Vergangenheit, es verbessert einen Anteil Sie nehmen an gepatcht einer Minderheits wichtigsten Fragen - ?. Was immer telefonisch Datensätze aus Benutzern und Sammlung Registrierung Bankkonto. Aber in der Nähe sind immer noch beliebt nutzt die API, und es ist bis zu Snapchat, um Personen zu etablieren sie vorher stattfinden kann ausgenutzt werden.
Sind Drittanbieter-Anwendungen - wie die, die angeblich gehackt - von Natur aus nicht so viel sicherer als die legitimen App Snapchat Wenn ja, warum ??
Natürlich, die ihrer Definition. Sobald etwas nicht First-Party, nehmen Sie an nix so sicher, wie auf den Code, den Sie nicht sicherstellen können, ist nicht belasten etwas bösartig. Beliebte das Gericht bei Snapchat, einige Drittanbieter-Anspruch möglicherweise findet mit Take sparende Bestätigung Schlupf Ihres Kontos und etwas ziehen Schnappschüsse von Ihrem Bankkonto. Vor dem Sammeln Listen Ihrer Kontakte an Ort und Stelle von Spam. Bevor Sie den Zugriff auf Ihre E-Mail-direkte und Telefon Menge und Förderung auf. First-Party-Clients ist alles, was es tut, beliebt die Maßgaben der Service, und Sie können in der Regel vertrauen Unternehmen auf den Einzelnen zu brechen, zur gleichen Zeit, da die Risiken sind enorm.
Mit Apps von Drittanbietern, Verletzung den Maßgaben der Service ist nicht riskant an der Seite von allen. Wird ich vielleicht eine App in den App ausgestrahlt anzuhäufen, um Pausen meine eigenen Maßgaben vor Bedingungen und die übelsten Faktor, um Geist Ernte auf mich zu (je nach Schweregrad) Geist von meinem Anspruch wird von der App anzuhäufen an der Seite all gezogen. Kaum Strafe.
Was haben Sie gesagt? Bereiten Sie denken, ist die Top-Lösung / sprechen, um an Stelle der App-Entwickler, die gerne über ihre Nutzer zu sehen, aber zu fördern und ein Ökosystem von Drittanbieter-Anwendungen würde?
Befehl jemand um sie zu deaktivieren. Wenn Snapchat ging den Weg von Facebook, Twitter, und Angst, auch Yo!, Alle Apps von Drittanbietern würde ein Teil in der eigenen Bestätigung Token zu nehmen, und wenn eine App eingeklemmt wurde Belastung etwas bösartig, sie möglicherweise . wird die Token und so zurückziehen, zu behaupten, wäre Platz Völlig derzeit nach unten zu nehmen, was sie vorbereiten können, ist zu fragen Apple / Google / Microsoft, um sie abbauen - das Alter nimmt und die App möglicherweise noch verarbeiten wird Probleme verursachen, um Schlussphase Nutzer . Sie würden und statt in der Lage, um sicherzustellen, welche Apps waren Belastung was hast du gesagt? und Einzelpersonen Analytics Parade Snapchat, wenn ein Anspruch ist Last etwas so sieht bösartig.
from: https://lauriel001.meinblog.at/
