Snapchat安全漏洞可能外洩用戶電話

資安業者Gibson Security上周揭露多媒體傳訊服務Snapchat程式含有安全漏洞，能讓駭客挖掘許多用戶電話，Gibson並釋出了兩個攻陷相關漏洞的概念性驗證程式。

Snapchat提供非常獨特的傳訊服務，在使用者傳遞照片予友人時，可以設定友人檢視該照片的時間，最多只有10秒鐘，除非友人很快儲存照片，否則時間一到照片便會消失，該程式支援iOS與Android平台。Facebook也推出類似的Poke程式，只是不如Snapchat受歡迎，市場也曾傳出Facebook有意以近30億美元併購Snapchat，但遭Snapchat所拒。

Gibson所開發的其中一個概念性攻擊程式是針對Snapchat的Find Frineds功能，此一API會比對用戶通訊錄中的電話與Snapchat的帳號資訊，以進行友人推薦，但該API可被濫用，造成駭客有機會獲得Snapchat大量用戶的電話號碼，例如Gibson在7分鐘內便檢視了1萬組電話號碼。

Gibson表示，他們早在4個月前便通知Snapchat相關漏洞訊息，只是Snapchat一直沒修補，才會決定釋出概念性攻擊程式。另一個攻擊程式是鎖定Snapchat的註冊程序，可用來一次註冊大量的Snapchat帳號。

不過，Snapchat的回應頗為輕描淡寫，表示Find Friends是讓使用者上傳通訊錄以與Snapchat用戶比對，但使用者也可選擇是否在Snapchat帳號中填寫電話，Snapchat不會向別人顯示用戶電話也不支援以用戶名稱來搜尋電話；如果有人能上傳大量的電話碼號，就可建立一個與Snapchat帳號比對的資料庫，這一年來他們不斷採用不同的方式來阻擋此事的發生，且未來也會繼續改進。（編譯/陳曉莉）