資安業者Gibson Security上周揭露多媒體傳訊服務Snapchat程式含有安全漏洞,能讓駭客挖掘許多用戶電話,Gibson並釋出了兩個攻陷相關漏洞的概念性驗證程式。

Snapchat提供非常獨特的傳訊服務,在使用者傳遞照片予友人時,可以設定友人檢視該照片的時間,最多只有10秒鐘,除非友人很快儲存照片,否則時間一到照片便會消失,該程式支援iOS與Android平台。Facebook也推出類似的Poke程式,只是不如Snapchat受歡迎,市場也曾傳出Facebook有意以近30億美元併購Snapchat,但遭Snapchat所拒。

Gibson所開發的其中一個概念性攻擊程式是針對Snapchat的Find Frineds功能,此一API會比對用戶通訊錄中的電話與Snapchat的帳號資訊,以進行友人推薦,但該API可被濫用,造成駭客有機會獲得Snapchat大量用戶的電話號碼,例如Gibson在7分鐘內便檢視了1萬組電話號碼。

Gibson表示,他們早在4個月前便通知Snapchat相關漏洞訊息,只是Snapchat一直沒修補,才會決定釋出概念性攻擊程式。另一個攻擊程式是鎖定Snapchat的註冊程序,可用來一次註冊大量的Snapchat帳號。

不過,Snapchat的回應頗為輕描淡寫,表示Find Friends是讓使用者上傳通訊錄以與Snapchat用戶比對,但使用者也可選擇是否在Snapchat帳號中填寫電話,Snapchat不會向別人顯示用戶電話也不支援以用戶名稱來搜尋電話;如果有人能上傳大量的電話碼號,就可建立一個與Snapchat帳號比對的資料庫,這一年來他們不斷採用不同的方式來阻擋此事的發生,且未來也會繼續改進。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容