Исследователи раскрыли информацию о брешах в Snapchat

Ранее исследователи безопасности из Gibson Security уже сообщали об обнаружении в популярной службе мгновенного обмена сообщениями Snapchat ряда опасных брешей, уведомления о которых были проигнорированы разработчиками. Как сообщалось, создатели приложения знали о наличии критических уязвимостей еще в августе текущего года.

В связи с тем, что выпуск соответствующего исправления безопасности до сих пор не состоялся, исследователи приняли решение опубликовать в открытом доступе разработанный ими эксплоит, а также дополнительные подробности о некоторых из брешей.

Одна из уязвимостей службы находится в функционале, предназначенном для сопоставления телефонных номеров в адресной книге пользователя с учетными записями его знакомых в Snapchat. Пристально исследовав эту функцию в Gibson Security выяснили, что она позволяет осуществлять подобный поиск в массовых масштабах.

По предварительным расчетам, с помощью сервиса потенциальные злоумышленники могут раскрывать и сопоставлять с учетными записями не менее 5 тысяч телефонных номеров пользователей в минуту (при условии, что они располагают гигабитным подключением к Сети). Для этого достаточно написать простую программу, генерирующую номера наугад и автоматизирующую процесс их поиска в Snapchat.

Упомянутый PoC-код, в свою очередь, предназначен для осуществления массовой регистрации в сервисе учетных записей, что может быть использовано как для рассылки спам-сообщений, так и для ускорения поиска учетных записей описанным выше методом.

Ознакомиться с отчетом Gibson Security можно здесь . PoC-код для Snapchat можно найти здесь .