אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
פרצה חדשה בסנאפצ'ט מאפשרת לשתק את המכשיר שלכם מרחוק צילום: בלומברג

פרצה חדשה בסנאפצ'ט מאפשרת לשתק את המכשיר שלכם מרחוק

מומחה אבטחה גילה שמערכת ההצפנה של האפליקציה ניתנת לתמרון, מה שמאפשר להציף את הטלפון בהודעות ולנטרל אותו. החוקר טען כי לאור יחסה המזלזל של החברה לסוגיות אבטחה, כלל לא טרח לפנות אליה ישירות

10.02.2014, 15:11 | הראל עילם
אפליקציית שיתוף התמונות סנאפצ'ט ממשיכה להיות במוקד של עניין תקשורתי ורחב - ושל חוקרי אבטחה. חוקר האבטחה ג'יימי סאנצ'ז, שעובד עבור ספקית הסלולר טלפוניקה, מצא חור אבטחה חמור במיוחד באפליקציה המאפשר להאקרים לשתק מכשירי אייפון מרחוק.

קראו עוד בכלכליסט

מערכת האבטחה של האפליקציה יוצרת קוד הצפנה יחודי לכל תמונה. הדבר מאפשר העברת התמונה בצורה בטוחה, מוצפנת ואנונימית - וסנאפצ'ט גם דואגת למחוק אותה מהמערכת ולהסיר את הגישה של הנמען אליה תוך 15 שניות. בדרך זו היא שומרת על פרטיות הגולשים, ולכן הפכה לפופולרית במיוחד בקרב צעירים, במיוחד עבור מטרות מסרים מיניים.

סנאפצ סנאפצ'ט סנאפצ

מתברר כי סנאפצ'ט אינה מגבילה את כמות ההודעות והתמונות שניתן לשלוח דרך המערכת בזמן נתון ושמערכת ההצפנה ניתנת לתמרון. האקרים יכולים להשתמש באותו קוד שוב ושוב על מנת לשלוח בבת אחת מאות ואף אלפי תמונות והודעות למשתמש אחר.

בדומה למתקפת DDOS, שפועלת על ידי הצפת השרתים המארחים אתר מסוים בבקשות מידע, האקרים יכולים להציף את הטלפון של משתמש מסוים עם הודעות. הדבר יכול לשתק מכשירי אייפון ולהאיט במיוחד מכשירי אנדרואיד - בעזרת קוד אחד. סאלוודור רודריגז, עיתונאי ב"לוס אנג'לס טיימס" שדיווח לראשונה על הפרשה, תיאר כיצד סאנצ'ז הצליח לשתק את המכשיר שלו מרחוק.

החוקר: אין טעם לפנות לסנאפצ'ט עצמה

זאת אינה הפעם הראשונה שנמצא שיש חורי אבטחה באפליקציה. פרצת האבטחה הקודמת גם עסקה בכך שסנאפצ'ט אינה כוללת כל מנגנוני בדיקה ומיון פנימיים - בדיוק כמו שניתן להשתמש שוב ושוב באותו קוד אבטחה, כך גם סנאפצ'ט אינה מגבילה את כמות בקשות המידע לצירוף חברים חדשים שמשתמש שולח. כתוצאה מכך, האקרים הצליחו למפות את מספרי הטלפון ושמות המשתמש של 4.6 מיליון משתמשים, רק על ידי הצפת המערכת בבקשות.

מייסד החברה אוון שפיגל התייחס בעבר בביטול לפרצות האבטחה שנמצאו באפליקציה. סאנצ'ז אמר כי הוא פנה לעיתונות ישירות מכיוון שהחברה "מתייחסת בביטול לנושאי אבטחה", והתעלמה מהתראות קודמות. הוא גם ציין כי לאחר פרסום הכתבה, החברה חסמה את החשבונות שהוא השתמש בהם לבצע את הבדיקות והתקיפות.

דובר החברה הגיב כעת לדיווחים על הפרצה החדשה ואמר: "אנו נפנה למומחה האבטחה בנושא ונפעל לפתור את הבעיה".

תגיות