peneliti mengatakan : Penyerang dapat mencocokkan nomor telepon ke Snapchat account

Sebuah lubang keamanan di foto populer layanan Snapchat Olahpesan dapat memungkinkan penyerang untuk menemukan nomor telepon dari banyak pengguna dalam waktu singkat waktu, menurut Gibson keamanan, grup penelitian keamanan komputer. Para peneliti menerbitkan kode bukti-of-konsep yang penyalahgunaan fitur sah Snapchat api (antarmuka pemrograman aplikasi) yang disebut % u201Cfind_friends % u201D iterate melalui sejumlah besar nomor telepon dan mencocokkannya Snapchat account. Gibson keamanan pertama mengungkapkan kerentanan ini pada bulan Agustus, bersama dengan beberapa isu-isu lain yang ditemukan setelah reverse rekayasa Snapchat API, protokol yang digunakan oleh klien Snapchat untuk Android dan iOS untuk berkomunikasi dengan perusahaan % u2019s server. Snapchat adalah aplikasi pesan populer yang juga memungkinkan pengguna untuk berbagi foto, video dan gambar. Ia paling dikenal untuk fitur Enterprise foto, yang mana pengirim dapat menentukan jangka waktu beberapa detik setelah gambar dilihat oleh Penerima secara otomatis dihapus

Para peneliti keamanan Gibson memutuskan untuk melepaskan dua eksploitasi pada Desember 25% u201Cfind_friends % u201D masalah dan isu yang terpisah, karena menurut mereka, perusahaan gagal untuk memperbaiki masalah selama empat bulan. Mengeksploitasi pertama adalah script Python yang bisa iterate melalui serangkaian diberikan nomor telepon dan kembali Snapchat akun dan menampilkan nama yang terkait dengan salah satu angka-angka. % u201DWe melakukan beberapa perhitungan kembali-of-the-amplop didasarkan pada beberapa angka-angka kami lakukan (berdasarkan tidak terpakai kisaran angka), u201D %, kata para peneliti. % u201CWe mampu crunch melalui nomor telepon 10 ribu (seluruh sub-rentang dalam American nomor format (XXX) YYY-ZZZZ % u2014we lakukan Z % u2019s % u2014in sekitar 7 menit gigabyte jalur pada virtual server.%u201D

Para peneliti memperkirakan bahwa penyerang dapat menguji setidaknya 5.000 angka per menit. di seluruh bulan, anda bisa crunch melalui sebanyak 292 juta nomor tunggal dengan sebuah server,  kata mereka. tambahkan lebih server ( atau sebaliknya meningkatkan nomor anda berderak kewenangan ) dan anda bisa mendapatkan melalui sebuah tampaknya tak terbatas dari angka. jumlah Itu  s tidak mungkin snapchat  s akhir akan pernah menjadi hambatan yang, dalam hal ini melihat seperti itu  s lari di google app mesin, mana ( seperti yang kita semua tahu ) adalah sebuah tangki mutlak ketika datang untuk menangani beban. melompat melalui terutama  kaya kode area  dari amerika, potensi entitas berbahaya yang bisa membuat database yang besar dari nomor telepon dan sesuai snapchat rekening di menit, para peneliti berkata. 

Yang � menemukan _ teman � fitur biasanya digunakan oleh snapchat apps untuk membantu pengguna menemukan teman-teman mereka dengan memeriksa jika ada nomor telepon di alamat mereka buku snapchat account. pertandingan Menurut peneliti, keamanan gibson solusi untuk mencegah fitur ini dari yang disalahgunakan adalah untuk menegakkan tingkat membatasi untuk api queries. Kedua masalah diidentifikasi oleh para peneliti keamanan gibson berasal dari snapchat � syarat, dukcapil yang lemah yang dapat memungkinkan penyerang untuk mendaftarkan akun baru dalam jumlah besar melalui api. Naskah yang terpisah yang dapat otomatis proses ini telah dibebaskan juga. Snapchat tidak segera menanggapi permintaan untuk berkomentar.

Sumber " Trasnlated from