Verschillende kwetsbaarheden in Snapchat, de populaire app om foto's te delen, maken het mogelijk voor kwaadwillenden om namen en telefoonnummers van gebruikers te achterhalen, ook als die hun profiel hebben afgeschermd. De lekken werden door onderzoekers van het Australische beveiligingsbedrijf Gibson Security ontdekt.

"Snapchat gebruikt een redelijk eenvoudig, maar vreemd geïmplementeerd, protocol bovenop HTTP. We zullen niet alles over het protocol vertellen, alleen wat nodig is voor deze problemen, maar de rest is eenvoudig te achterhalen", aldus de advisory. Via Snapchat worden elke dag 200 miljoen foto's uitgewisseld. Alleen in de Verenigde Staten heeft de app meer dan 8 miljoen unieke gebruikers.

Database

Via de "Find Friends" functie van Snapchat kan een aanvaller eenvoudig en in korte tijd een database met gebruikersnamen en telefoonnummers van gebruikers aanleggen. De kwetsbaarheid is volgens de onderzoekers in theorie te gebruiken om mensen te stalken of de data aan bedrijven te verkopen, die die deze gegevens en andere online profielen aan echte mensen koppelen.

Een ander probleem bevindt zich in de gebruikte encryptie. Verstuurde Snaps worden via symmetrische sleutelencryptie versleuteld. "De sleutel is hetzelfde in zowel de Android als iOS app, en het zit daar te wachten totdat het door iemand gevonden wordt", merken de onderzoekers op. De onderzoekers ontdekten dat alle Snapchat apps dezelfde encryptiesleutel gebruiken.

Berichten

Verder bleek dat als een aanvaller toegang tot de Snapchat servers krijgt, hij eenvoudig verstuurde snaps kan bekijken, aanpassen of vervangen. "Met een paar regels Python kan iemand alle ongelezen berichten lezen, en afhankelijk van de situatie afbeeldingen zelfs aanpassen of helemaal vervangen." De onderzoekers ontdekten daarnaast een Denial of Service probleem, waardoor het mogelijk is om de Snapchat app onbruikbaar te maken.

Het bedrijf achter Snapchat zou zijn ingelicht, maar het probleem niet hebben opgelost, merken de onderzoekers op. "We hebben geprobeerd om op de functie van softwareontwikkelaar bij Snapchat te solliciteren en lieten weten dat we graag de veiligheid en prestaties van de applicatie wilden verbeteren, maar kregen geen antwoord."

Vertrouwen

"Snapchat is verre van perfect", gaat de advisory verder. De onderzoekers hopen dat ze kunnen bijdragen aan het beter gebruik van encryptie in Snapchat en soortgelijke applicaties. "Snapchat bevindt zich in een wereld waar de meeste van de gebruikers hun vertrouwen in de veiligheid achter de app steken, ze kunnen dan ook niet tekort schieten in het beveiligen van hun app."

Het probleem zou mede worden veroorzaakt doordat Snapchat een beginnend bedrijf is, en als starter met korte deadlines werkt. Dat kan het bedrijf op de korte termijn helpen, maar kan ervoor zorgen dat kwetsbaarheden in het uiteindelijke product achterblijven en door kwaadwillenden kunnen worden ontdekt en misbruikt.