Snapchat sender aben videre i læk med 200.000 billeder

Det er tredjeparts-apps, der lækker de mange billeder, siger Snapchat. Sikkerheden i Snapchats API bliver dog beskyldt for at være for svag.

Snapchat hævder i kølvandet på fredagens 13 GB store læk af omkring 200.000 billeder, at det ikke er deres servere, der har været angrebet. Det skriver Wired.

»Vi kan bekræfte at Snapchats servere ikke har været tilgået, og at vi ikke er kilden til denne lækage. Snapchatters er angiveligt blevet ofre (for lækagen, red.), fordi de har anvendt tredjeparts apps til at sende og modtage snaps, en praksis, vi udtrykkeligt forbyder i vores anvendelsesvilkår, fordi de kompromitterer vores brugeres sikkerhed,« siger en talsmand for Snapchat til Wired.

Mange af de lækkede billeder er angiveligt af helt unge teenagere, der sender snaps af sig selv i mere eller mindre afklædt tilstand. Ifølge det norske dagbladet.no stammer mange af billederne fra Norge og Danmark.

Men Snapchat har ikke ryggen fri, selvom lækagen muligvis kommer fra en anden server end deres egen. Eksperter har nemlig advaret mod sårbar sikkerhed hos Snapchat længe inden fredagens læk.

Læs også: Putin underskriver ny lov, der kan blokere for sociale medier i Rusland

Sikkerhedsforsker Adam Caudill har flere gange siden 2012 advaret Snapchat om deres svage API (Application Programming Interface). Første gang lykkedes det ham at deaktivere den tidsfunktion, der automatisk sletter billeder og video i den snap, der er sendt ud til vennerne. Den automatiske slettefunktion er bærende i Snapchat-konceptet, fordi man dermed ikke behøver at frygte, at indholdet i de snaps, man sender, kommer i forkerte hænder. Hvis en modtager mod forventning gemmer et screendump af snappen, får man automatisk en besked.

Men den sikkerhed kan man ikke føle sig sikker på, siger Caudill.

»Den gennemsnitlige udvikler kan inden for en dags tid bygge noget, der interagerer med Snapchats API og gemmer alt, hvad der kommer igennem [af billeder og video, red.],« advarede Caudill allerede i 2012 og tilføjede dengang, at det overraskede ham, at det ikke var sket noget før.

Snapchat reagerede dengang på Caudills henvendelse og rettede i API’en. Dog ikke mere, end at Caudill få måneder senere atter en gang kunne vise, hvordan man fik fat i billederne på samme vis.

Læs også: Twitter sagsøger USA for at sikre åbenhed om overvågning

»Snapchat bliver nødt til at hyre en ekstern sikkerhedskonsulent til at gennemgå deres systemer for at identificere fejl som dem, jeg har udpeget, og komme med nogle rigtige løsninger på problemet,« sagde han efter gentagelsen.

Tre andre udviklere kom til samme konklusion uafhængigt af hinanden.

En af dem formåede inden for et par timer at bearbejde API-koden til en funktion, der automatisk gemmer alle snapchats, han modtager.

Læs også: Apple kendte til sikkershul i Icloud, inden celebgate

Går man på Android Google Play og iOS App Store, er der flere forskellige apps, der lader dig gemme de snapchat-beskeder, du har modtaget, blandt andet Snapcrack og Snapbox, skriver Wired.

Dagbladet BT har tidligere bragt en guide til, hvordan du finder ud af, om dine snaps er blevet lækket. Du kan læse den her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Henrik Pedersen

Jeg har endda lavet min egen lille fork af det, som omgår deres rate limiting som alle andre API'er ellers var underlagt.

Jeg brugte det til to services "catservice" og "ferretservice" (begge lukkede nu) som var snapchat brugere, der hvis man sendte dem en besked, så sendte den en tilfældig kat (via http://thecatapi.com/) og en mappe med tusindvis af fritte billeder. xD

Det er uhyre nemt, men jeg synes det er lidt voldsomt at kalde det et sikkerhedsproblem. Alt hvad der sker, er at man simulerer app'en, og det vil de aldrig nogensinde kunne stoppe. Det er App'en som i sidste ende notificerer om screenshot, og som sørger for kun at vise billederne i 10 sekunder. Så snart noget er sendt til en enhed, man ikke styrer selv fysisk, så skal man anse indholdet som kompromitteret.

Jeg synes dog Snapchat har skylden ved at markedsføre et koncept hvor de påstår at billederne kun varer i X antal sekunder, fordi de ved UDEMÆRKET godt hvad det vil blive brugt til. De burde tvinges til at have en stor rød label i toppen, ligesom en pakke smøger, hvor der står "BILLEDERNE ER IKKE SIKRE. DE KAN GEMMES AF ALLE."

  • 4
  • 0
#2 Thomas Larsen

Det er mærkeligt og ærgerligt at medierne først skriver om denne sikkerhedsbrist nu. Den har været kendt i to år og vi trods alt er en del danskere der bruger snapchat.

Medierne burde tage deres opgave med at advare folk om svindel og fup på nettet noget mere alvorligt synes jeg. Det er ret ligegyldigt for de fleste danskere når politiken fylder et helt fredagstillæg med de nyeste historier om hipsterlivet på vesterbro. Men når man tænker på hvor mange i hele Danmark der bruger snapchat og tror at det er sikkert så burde de bruge mere tid på at skrive om den slags der optager danskerne i hverdagen.

  • 0
  • 2
#3 Tom Paamand

Hvis noget kan ses eller høres, kan det kopieres. At tingene sker på en skærm ændrer naturligvis intet ved dette, men gør det som regel nemmere. Et simpelt eksternt fotografi af de få sekunder hvor billedet vises, og så er det gemt til videre offentliggørelse. Snapchat og kollegaerne er dybt skyldige i at lulle deres brugere ind i en falsk tryghed.

  • 2
  • 0
#4 Knud Jensen

Jeg har aldrig brugt denne app, så kender ikke til den. Men hvis jeg har forstået rigtigt, så kan man sende et billede/video til en bestemt bruger.

Giver denne omgåelse af API'en så adgang til at man kan se indhold som var tiltænkt andre brugere? Hvis det forholder sig sådan, er ligger skylden jo ved Snapchat. Men hvis det kun er muligt at gemme det indhold som var tiltænkt en selv, så kan man vel ikke klandre Snapchat for noget, eller hvad?

  • 0
  • 0
#5 Elias Sørensen

Kan ikke se hvad Snapchat kan gøre.

Deres API er blevet reverse engineered, og andre apps er dukket op, som tilbyder at gemme de snaps man modtager, så de ikke forsvinder. Det er en af disse services der er skyld i lækagen. Problemet er, at når du sender noget, så kan du ikke vide om modtageren bruger Snapchats originale app, eller en 3. parts app, som kan gemme modtagne billeder.

Men Snapchat er HELT uden skyld i dette.

  • 0
  • 1
#6 Henrik Pedersen

Det gør det nemlig ikke. Den påståede "brist" er bare at man kan tilgå deres API med hjemmestrikkede klienter. Selvfølgelig kan man det, hvis man ønsker! Det kan vi sgu da gøre med alle internet opkoblede services.

Alle de her selvproklamerede eksperter som har råbt op, de vil bare i medierne. Der er ingen brist, appen fungerer som den skal. De advokerer udelukkende for yderligere obfuskering (falsk sikkerhed), som hurtigt bliver omgået af nysgerrige folk som mig selv (hvis vi har lyst til at sende fritter ud, se min tidligere kommentar xD).

Jeg har også hørt om steder hvor de har brugt de her "ulovlige" API'er til at modtage snapchats og f.eks. vise dem i toppen af chatsites osv. lige som de gamle "MMS dit billede tile studiet" systemer.

Anyway, det eneste "måske" problem, jeg kan se er at klienten aktivt skal markere snappen som "hentet og vist", før den slettes fra snapchat serveren. Gør man ikke det, ligger den der i gud ved hvor lang tid, selvom klienten har hentet den. Men sådan et acknowledge system betyder jo ikke særligt meget da de normale klienter gør det med det samme (selv mange uofficielle, som udelukkender lader være med at sende screenshot notifikationer). Det kunne de måske godt forbedre til, at når billedet er downloadet, så slettes det, men potentielt kan de jo så tabe billeder, hvis de sidste 2 bytes røg, eller klienten crashede eller noget, og det er særdeles sandsynligt på mobile enheder, og ville skade brugeroplevelsen.

Jeg kan godt forstå deres designvalg, og problemet ligger i at brugerne sender pornografiske billeder rundt uden at tænke sig om.

  • 0
  • 0
#10 Elias Sørensen

Ja, men hvis folk benytter sig af 3. parts programmer, så er det jo ude af Snapchats hænder?

Hvis modtageren står klar med et kamera og optager skærmen, så kan de jo gemmes på samme måde?

Handler det ikke mere om sund fornuft? Når man sender noget til andre ved man ikke hvor/hvordan det ender.

  • 2
  • 2
#12 Frithiof Andreas Jensen

Anyway, det eneste "måske" problem, jeg kan se er at klienten aktivt skal markere snappen som "hentet og vist", før den slettes fra snapchat serveren ...

Den protokol betyder jo at Snapchat faktisk har et API til kopiering af brugernes billeder. Hvis login også er svagt implementeret så kunne man sätte en korrupt klient op på AWS og suge alle beskederne - helt uden at brugerne ser det.

"Not Exactly What it Sez on The Tin"!

De skulle nok have solgt biksen dengang FaceBook viftede med mange Willyarder!

  • 0
  • 0
#13 Henrik Pedersen

Login er vidst ikke synderligt svagt implementeret. Brugernavn og password, og der er rate-limiting på login forsøg (endda ret hurtigt den træder i kraft).

Det der også sker, er at så snart du logger ind, så får du udstedt en ny API nøgle hver eneste gang. Den invaliderer samtidigt alle de gamle, så hvis du udførte et sådan angreb, så ville alle brugerne du tjekkede "indboksen" for, blive logget ud hver gang, og skulle logge ind igen. Og hver gang de så loggede ind igen, ville din egen API nøgle være ugyldig, og derved ville du skulle logge ind igen (velkommen til rate limiting på login systemet, du kan ikke lave mere end x antal nye logins i minuttet fra samme IP).

Alt i alt er deres sikkerhed faktisk ikke så håbløs som folk får det til at lyde til.

  • 1
  • 0
#14 Knud Jensen
  • 1
  • 0
#15 Anders Rosendal

Android kan som standard tage screenshot af skærmbilledet. Det kræver ikke et 3. parts program, hvilket Snapchat selvfølgelig er klar over.

Det er de. Derfor får jeg en besked hvis min flamme tager et screenshot af mit frække billede. Derefter kan jeg så stoppe med at sende nudes til den bestemte person hvis jeg føler for det.

Folk er dumme. Det kan snapchat ikke klandres for. Det er noget skolen/staten skal prøve at lave om på.

  • 0
  • 1
Log ind eller Opret konto for at kommentere