据计算机安全研究机构Gibson security称,受欢迎的照片信息服务Snapchat的一个安全漏洞可能让攻击者在短时间内找到许多用户的电话号码。
研究人员出版概念验证代码这种做法滥用了Snapchat API(应用程序编程接口)中一项名为“find_friends”的合法功能,即在大量电话号码中迭代,并将其与Snapchat账户匹配。
吉布森安全第一今年8月暴露了这一弱点此外,在对Snapchat API (Snapchat客户端用于安卓和iOS与公司服务器通信的协议)进行反向工程后,该公司还发现了其他一些问题。
Snapchat是一款流行的通讯应用,它还允许用户分享照片、视频和图纸。它最著名的功能是照片自毁功能,发送者可以指定一个时间段,在几秒钟后,收件人看到的照片会被自动删除。
吉布森安全研究人员决定在12月25日发布两个针对“find_friends”问题的漏洞,以及一个单独的问题,因为根据他们的说法,该公司在过去四个月中未能解决这些问题。
第一个漏洞是一个Python脚本,它可以遍历一组给定的电话号码,返回Snapchat账号,并显示与这些号码关联的姓名。
研究人员说:“我们在一些数据的基础上做了一些粗略的计算。”“我们能够在虚拟服务器上用大约7分钟的时间处理1万个电话号码(美国数字格式的整个子范围YYY-ZZZZ——我们做了Z’s——在一个十亿字节的线路上。”
研究人员估计,攻击者每分钟至少可以测试5000个数字。
他们说:“在一个月的时间里,单台服务器就可以处理多达2.92亿个数据。”添加更多的服务器(或者增加你的数字处理能力),你就能处理似乎无穷无尽的数字。Snapchat的终端不太可能成为这方面的瓶颈,因为它运行在谷歌应用程序引擎上,而(我们都知道)在处理负载方面,应用程序引擎是一个绝对的坦克。”
研究人员表示:“浏览美国特别‘丰富’的区号,潜在的恶意实体可能会在几分钟内创建大量电话号码和相应Snapchat账户的数据库。”
“find_friends”功能通常被Snapchat应用程序用于帮助用户通过查看地址簿中的电话号码是否与Snapchat账户匹配来找到朋友。根据Gibson安全研究人员的说法,防止该特性被滥用的解决方案是强制限制API查询的速率。
吉布森安全研究人员发现的第二个问题来自Snapchat松懈的注册要求,这可能会让攻击者通过API大量注册新账户。另外还发布了一个单独的脚本,可以自动执行这个过程。
Snapchat没有立即回应置评请求。