Varo epävirallisia Snapchat-sovelluksia – keräävät tunnuksia

Epävirallisia Snapchat-sovelluksia käyttävien iPhone-omistajien kannattanee poistaa nämä sovellukset ja vaihtaa salasanansa Snapchatiin. Tuoreen selvityksen mukaan useat kolmannen osapuolen, eli jonkun muun kuin Snapchatin itsensä julkaisemat sovellukset lähettävät käyttäjien kirjautumistunnuksia salaamattomina omille palvelimilleen.

Sudo Security Group kehittää Verify.ly-järjestelmää, jonka on määrä skannata sovelluksia ja selvittää, miten ne suhtautuvat käyttäjiensä yksityisyyteen ja liikuttavatko ne dataa turvallisesti. Sovellusten turvallisuutta tutkiessaan Sudo Security Groupin Will Strafach löysi liudan sovelluksia, jotka lähettävät Snapchatin kirjautumistietoja, eli käyttäjätunnuksia ja salasanoja, salaamattomina.

Ensimmäiseksi Strafach löysi sovelluksen nimeltä Snapix. Sen kautta voi lähettää puhelimeen tallennettuja kuvia Snapchatiin. Kun käyttäjä kirjautuu sovellukseen Snapchat-tunnuksillaan, sovellus lähettää tunnuksen ja salasanan ensin salaamattomina omalle palvelimelleen ja sieltä eteenpäin Snapchatille kirjautumista varten. Mitään pätevää syytä tunnusten toimittamiselle ulkopuoliselle palvelimelle ei ole, minkä lisäksi salaamattomina lähetetyt tunnukset voidaan kaapata, jos ne lähetetään avoimessa langattomassa lähiverkossa, kuten koulussa tai kahvilassa.

Snapixin jälkeen Strafach tutustui myös Quick Upload- ja SnapBox-nimisiin sovelluksiin, jotka myös lähettivät kirjautumistunnukset salaamattomina. Sovellukset ovat keskenään erilaisia ja eri kehittäjiltä, mutta lähettävät silti tunnukset samalle palvelimelle. Lisäksi SnapBox toimitti kirjautumistietojen ohessa myös käyttäjän GPS-sijainnin palvelimelle.

Muutama kuukausi sitten Apple hylkäsi sovelluskaupastaan kolmannen osapuolen Instagram-sovelluksen, joka keräsi kirjautumistunnuksia vastaavalla tavalla. Aiheesta uutisoineen 9to5Macin mukaan sosiaalisessa mediassa ei kannata käyttää minkäänlaisia lisäsovelluksia tuomaan uusia ominaisuuksia, sillä monikaan epävirallinen sovellus ei välttämättä käsittele käyttäjätietoja ja -tunnuksia asianmukaisin tavoin.

comments powered by Disqus