Af - 15/10-14 13:19

Snapchats store problem er dårlig sikkerhed og naive brugereSnapchats store problem er dårlig sikkerhed og naive brugere

Det store læk fra Snapchat har cementeret, at det sociale medie har et problematisk forhold til sikkerhed og en meget godtroende brugerskare.

storybild

Det store læk af billeder fra Snapsaved.com kom ikke direkte fra Snapchat. Men hvordan kunne 100.000 private billeder og videoer fra Snapchat alligevel havne på nettet? (Billede: Metroxpress & Luis Prado)

Da historien om det store billedlæk fra Snapsaved.com ramte medierne i weekenden var Snapchat hurtige til at frasige sig ethvert ansvar.

Det skyldes, at Snapsaved.com er en såkaldt 3. parts-app, der ikke har noget officielt samarbejde med Snapchat.

Snapsaved.com's blotte eksistens er faktisk imod Snapchats retningslinjer.

Men Snapchat kan på ingen måde frasige sig ansvaret for skandalen, da det i sidste ende er deres skyld, at en uautoriseret hjemmeside i første omgang kan få adgang til selve livsnerven i Snapchat - nemlig brugernes videoer og billeder.

Hvis en uautoriseret app uhindret kunne få adgang til dine private beskeder fra Facebook og Twitter, ville du så ikke undre dig?

Lars Ramkilde Knudsen, professor på DTU og kryptolog, er da heller ikke i tvivl i sin vurdering af sikkerheden på det sociale medie.

- Det er for dårligt, at Snapchat ikke har sikret sig noget bedre. Og det er helt forfærdeligt for alle dem, der har fået lækket deres private billeder, siger han.

Usikker ind til kernen
For at kunne forstå, hvordan det overhovedet kunne lade sig gøre for hackere at stjæle over 100.000 billeder fra intetanende brugere må man hive motorhjelmen af Snapchats maskinrum og kigge på de forsvarsmekanismer, der burde have holdt nysgerrige blikke væk.

For som grafikken herunder viser, kom lækket ikke direkte fra Snapchat, men derimod fra Snapsaved.com's server.

Det efterlader dog stadig spørgsmålet - hvordan fik Snapserved.com overhovedet fat i Snapchats billeder til at starte med?

Svaret er en lang række underlige valg fra Snapchats side.

Det første der er værd at bemærke, er, at Snapchat har en hemmelig API, der er det sprog, der gør en applikation i stand til at tale med den telefon eller computer, som den ligger på.

Facebook, Twitter og Instagram har derimod en offentlig API, og det betyder at alle kan udvikle programmer og applikationer, der kan fungere sammen med de sociale medier, som har en åben API - men det kræver vel at mærke, at de sociale medier godkender applikationen.

Uden den vil 3. parts-app'en ikke kunne hente data fra det sociale medie, og app'en vil med andre ord ikke virke.

Valdefar: Her er dit værste mareridt på Snapchat
Valdefar: Her er dit værste mareridt på Snapchat

Sådan er det ikke på Snapchat, og det er i og for sig fint nok. Problemet er dog, at den hemmelige API ikke er hemmelig.

Den ligger frit fremme på diverse hackerforums med fyldestgørende manualer til, hvordan du snyde Snapchats servere til "at tale" med din app.

Ifølge Lars Ramkilde Knudsen fra DTU, der har kigget Snapchats "hemmelige" API igennem har Snapchat ikke gjort det svært for hackerne.

- Selvom de har en hemmelig API, så ligger den meget tæt op af en standard API. Den er altså ikke svær at gætte, hvis man ved, hvad man skal kigge efter, siger han.

Alt i alt efterlader det Snapchat med det store problem, at de ikke kan nægte 3. part-apps adgang til deres data, hvis de først har gættet deres hemmelige API.

Facebook, Twitter, Tumblr, YouTube og Instagram - bare for nævne nogle - har med deres offentlige API mulighed for at trække stikket til apps, der ikke overholder deres retningslinjer.

Det har Snapchat ikke. Og deres forsøg på at beskytte deres brugere for 3. parts-app's bliver dermed en bagdør, der bare venter på at blive lirket op.

Snapsaved.com
Sådan reklamerede den danske side Snapsaved.com for deres service.

'De er nemme at hacke'
Metroxpress har været i kontakt med en hacker, der har udviklet sin egen 3. parts-app ved navn Snapsave, som havde de samme funktioner som Snapsaved.com.

Han fortæller, at Snapchat efter hans mening har en helt forfærdelig sikkerhed, og at det var nemt at bygge app'en, der bryder Snapchats retningslinjer.

- Snapchat har ikke nogen form for mekanisme, der forhindrer uofficielle apps som min i at tappe data fra serverne. Jeg kan gemme dine billeder, og hverken du eller Snapchat vil vide, at det er sket, skriver han i en besked til metroxpress.

Et andet problem med Snapchat er, at deres kryptering, der er en kode, som får data til at ligne det rene volapyk indtil man skriver den rigtige kode, ikke ændrer sig.

Enhver der ved noget om sikkerhed vil formentlig fraråde, at du bruger den samme kode i en lang periode, men den logik gælder tilsyneladende ikke for Snapchat.

Det betyder, at hvis du har knækket koden til Snapchats data en gang, så har du sikret dig selv adgang for al eftertid.

Norsk datatilsyn: Reel frygt efter Snapchat-hacking
Norsk datatilsyn: Reel frygt efter Snapchat-hacking

Derfor er hackerens dom over Snapchats sikkerhed helt enkel.

- Snapchat har aldrig været sikkert, og det virker ærlig talt som om, at folkene bag er fuldstændigt ligeglade, skriver manden bag Snapsave.

Selvom Snapchat i starten af året forsøgte at opgradere deres sikkerhed efter, at 4,6 millioner brugernavne og telefonnumre blev stjålet af hackere, så er manden bag Snapsave stadig ikke imponeret.

- Med den rigtige computerkraft vil det tage en som mig omkring en uge eller endnu kortere tid at bryde deres kryptering. Og derefter vil jeg så at sige have nøglen til Snapchat, skriver hackeren.

Den udtalelse må dog stå for hackerens egen regning, da metroxpress af gode grund ikke har mulighed for at efterprøve den.

Brugerne er for naive
Selvom sikkerheden på mange måder halter hos Snapchat, så mener Lars Ramkilde Knudsen dog ikke, at det udelukkende er det sociale medies skyld, at hackerne har kunne stjæle så mange private billeder.

En stor del af ansvaret ligger hos brugerne selv, da det er dem, som har sendt ekstremt private billeder over Snapchat.

- Alle ved, at man kan tage et screenshot af billederne, og derudover burde de fleste være klar over, at hackere kan stjæle billeder og videoer, hvis de ligger på en server. Og det gør de naturligvis hos Snapchat, siger Lars Ramkilde Knudsen, professor på DTU.

Han fortalte af samme grund sine børn, at de ikke skal bruge Snapchat til privat indhold - allerede inden det store læk.

Det er ulovlig at opsøge Snapchat-hackede billeder
Det er ulovlig at opsøge Snapchat-hackede billeder

Samtidig opfordrer professoren til, at man tænker over, hvilke tjenester man bruger til at sende meget private billeder.

- Der er brug for, at folk er kritiske i forhold til it-sikkerhed. Bare fordi Snapchat fortæller dig, at dine billeder forsvinder efter et par sekunder, så er der jo ingen der siger, at det passer, siger Lars Ramkilde Knudsen.

Her myrder Snapchat gode gamle Facebook
Her myrder Snapchat gode gamle Facebook

Andre læser lige nu

Hvad tænker du..?
Hitter på mx

Annonce



Hitter på mx