本篇文章2478字,读完约6分钟
上周五,数十万张私人照片和视频通过第三方snapchat客户端在互联网上广泛传播,导致用户对隐私泄露感到恐慌。外界对snapchat发起了新一轮指控,snap chat是一款广受欢迎的照片分享应用程序,最初被怀疑寿命短暂。Snapchat反应很快。这不是他们自身安全工作的问题。我们非常确定snpachat的服务器从未被攻破,照片也没有从我们这里泄露。snapchat的一名代表在一份声明中表示,通过第三方应用程序发送和接收照片是snapchat用户成为信息泄露受害者的原因。我们在使用条款中明确禁止这种行为,第三方平台会损害用户权益。我们正在密切监控应用商店和谷歌游戏,以防止非法第三方应用程序潜入和窃取信息。
对大多数人来说,问题的关键不是snapchat是否不能很好地防御黑客。最大的问题不是snapchat没有官方api,而是snapchat没有官方api的消息在互联网上是一个公开的秘密。这意味着snapchat依赖于苹果和谷歌等其他公司来最终监控哪些程序是安全和可用的。自2012年以来,安全研究员亚当考迪尔(adam caudill)发布了一份预警,称该公司的api存在重大安全缺陷,其他研究人员随后也发布了许多类似的警告。
以下是本文作者拉塞尔·布兰登和开发商之一亚历克斯·福布斯-里德之间的对话:
问:如何使用逆向工程来解决snapchat api问题
答:我在iphone上安装了官方的snapchat应用程序,在我的电脑上安装了一个名为charles(网络监听程序)的程序,还安装了一个通关证书(由charles发明)。这个证书可以监控通过设备的所有流量,并允许查尔斯观察电脑上的所有加密访问,并知道里面发生了什么动作和指令。
然后我继续像往常一样使用这个设备。在charles ui中,我可以看到这些程序的所有请求,以及它在这些请求中发送和接受的内容。
问:问:snapchat采取了什么预防措施
答:正如我之前所说的,所有的流量都是https超文本传输安全协议(这比instagram好得多,我的朋友史蒂夫·格雷厄姆建议通过一个单独的http端点来使用它)。但是,它们有一个二进制模式来为每个请求生成一个单独的密钥,并且所有用户都被平等对待。有些人已经在网上发布了它,所以我们不需要研究可执行的ios来提取这个密钥。然后我可以在这个节点上向snapchat发送请求,而snapchat程序本身无法知道这些请求不是来自非官方用户。
问:这是什么样的节目
答:这是微软视窗手机的第三方snapchat客户端。所有功能和特性都符合snapchat用户的偏好,因此您无法保存图片。
问:snapchat还能采取什么预防措施
答:除非采用oauth,否则他们无法提前做更多的工作来访问api,但这只会减慢研究人员的工作速度,并不能真正将黑客拒之门外。以windows phone store为例,它缺少大量的第一方应用程序,但已经开发了许多第三方程序。每家公司都成为了潜在的目标。
与六个月前相比,snapchat的安全性有了很大的提高,并且解决了诸如要求用户提供手机号码和批量用户注册等主要问题。然而,api漏洞的利用仍然存在,snapchat需要解决这些问题,以确保其程序被用户接收和使用。
问:与snapchat官方应用程序相比,第三方应用程序,就像那些声称受到攻击的应用程序一样,天生缺乏安全性吗?如果是,为什么?
根据公司的声明,是的。非第一方应用程序不能保证某些隐藏程序不会发出恶意指令。在snapchat的情况下,任何三方应用程序都可以通过保存您的帐户认证工具远程获取您的照片。或者收集你的好友名单,互相发送垃圾邮件,获取你的电子邮件地址,手机号码等。对于第一方用户,他们的所有行为都在服务条款范围内。用户需要相信公司不会违反这些条款,但是一旦他们违反了这些条款,对这些应用程序开发者来说风险是巨大的。
但是,对于那些三方应用程序,没有违反服务条款的风险。你可以向应用商店投诉他们的应用。根据情况的严重性,最糟糕的结果是该应用被从商店中移除,这甚至是一种惩罚。
问:优化解决方案(对于应用开发者来说,它可以保护用户权利,维护三方应用生态系统)
答:采用开放式系统。如果snapchat变成了facebook、twitter、地狱甚至是你!这样,所有三方应用都需要一个认证令牌。一旦发现一个程序有害,他们可以收回令牌,这样程序就无效了。目前,snapchat能做的就是依靠苹果、谷歌或微软
消除这些危险不仅需要时间,而且程序可能会伤害最终用户。通过开放系统,他们可以看到哪些程序发送指令,并显示snapchat是否有任何程序正在发送有害的动作和指令。(翻译/agnes)
(翻译/企业家精神)
三链:吃昆虫、吃厕所和油炸??3.模纸锻造,模具模具模具模具模具模具模具模具模具模具模具??. 95镣铐和镣铐??0.07%锝58.....
当前流行度:0
[娇娇]http://itougu.jrj/view/189514.j.....
当前流行度:0
1.1 .涓涓细流??邦邦、邦邦、邦邦、交邦和廖廖??要坚强,要坚强。.....
当前流行度:0
你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道........
当前流行度:0
缇落入三条锁链??3镝??6铥??0(乌桕脂含有3条链吗??4镝??4铥??0)死,死,死,死又死,4.72??......
当前流行度:0
那墙,墙,墙和墙呢??钳子里有丰富的镰刀、叉子、叉子、nan和链条,这些都是銮棒的来源.....
当前流行度:1
你想挑起镝,破坏哮喘吗??缇,汤,汤,3汤和柊镶嵌??链条??4."敌鲁,缇,汤,汤,汤."??.....
当前流行度:0
咸丰、大树、细垴、十二寸、相互涓涓??环秀细链,涓涓细流,砸铙钹,甩铙钹,砸铙钹,砸铙钹,砸响,砸得咝咝作响??葛格·岳格·柊.....
当前流行度:0