Tag: Beveiligingslek

Verwijderde foto’s en video’s in Snapchat terugkijken: hoe doe je dat?

Snapgrab, Snapcapture, SuperSnap… Er zijn genoeg manieren om Snapchat-foto’s te bewaren en herstellen, ook al pretendeert de app ze direct te vernietigen. Hoe kan dat?

Snapchat is een chat-applicatie die verzonden foto’s en video’s vernietigt na een door de verstuurder ingestelde tijdlimiet. De app is dan ook doodsimpel: maak een foto, voeg tekst toe, kies een tijdlimiet en verstuur. De geadresseerde heeft vervolgens maximaal tien seconden om de inhoud van het bericht te zien. In theorie verdwijnt het vervolgens voorgoed van je telefoon.

De enige ‘legale’ manier om de ontvangen foto te bewaren is om in binnen die tijdlimiet een screenshot te maken. Snapchat rapporteert echter wanneer de ontvanger een schermafbeelding maakt.

Er is echter een manier om foto’s van Snapchat te bewaren en zodoende te herstellen, ook al zijn ze zogenaamd verwijderd. Verschillende apps gebruiken de techniek en zijn inmiddels verwijderd uit Google Play om exact die reden.

Hoe zit het met bekeken Snapchat-foto’s?

Wanneer je een foto of video in Snapchat voor Android hebt geopend en de tijd is verstreken, dan wordt het bestand vervolgens niet direct verwijderd. De foto of video wordt opgeslagen op je telefoon met een speciale extensie, namelijk ‘nomedia’. Zo worden ze als het ware onzichtbaar voor je telefoon.

De map waarin Snapchat ontvangen foto’s en video’s bewaart (bron)

Wat vervolgens gebeurt is dat Snapcat Android instrueert onzichtbare bestanden te verwijderen, wanneer de zogenaamde ‘caches’ worden gereinigd van tijdelijke bestanden. Zo werkt de app sneller, omdat het geheugen niet volloopt met afbeeldingen en video’s.

Foto’s en video in Snapchat herstellen

Voor de recente 4.0-update van Snapchat kopieerde je eenvoudigweg de nomedia-bestanden naar een andere map met je file manager, om vervolgens de afbeeldingen te openen. Een deel van de uit Google Play verwijderde apps deed precies dat.

En zelfs wanneer een foto of video was verwijderd, was het nog mogelijk om ‘m te herstellen met behulp van toepassingen als Dumpster, die per ongeluk verwijderde bestanden herstelt.

Maar met de update naar versie 4.0 heeft Snapchat encryptie toegevoegd aan je foto’s en video’s. De nomedia-extensie verwijderen is inmiddels niet meer voldoende om berichten te herstellen: nu moeten de gegevens ook worden gedecodeerd. Zo leken de privacy-problemen van Snapchat in een klap opgelost.

‘Verwijderde’ berichten decoderen

De door Snapchat gekozen versleuteling is echter zwak. Al in 2013 werd Snapchat door specialisten van GibSec gewaarschuwd dat het systeem niet veilig was. Snapchat negeerde de waarschuwing, waarna GibSec de volledige code online zette.

Met deze code herstel je geopende Snapchat-foto’s en video’s (bron)

Zoals aangegeven op de XDA-forums, wordt de sleutel tot het ontcijferen van ‘gewiste’ afbeeldingen en video’s inmiddels al gebruikt. Met informatie als deze is het mogelijk om JPG’s en video’s te ontcijferen in seconden, en er zijn apps die gebruik maken van deze zwakte om Snapchat-bestanden te herstellen.

Waarom is Snapchat zo onveilig?

De beslissingen die Snapchat heeft genomen tonen het bedrijf de performance van de app en het plezier van de gebruikers boven de veiligheid stellen. De oprichter van Snapchat gaf het zelf letterlijk toe en zei dat zijn doel niet de veiligheid, maar ‘het plezier dat gebruikers hebben met de app’ voorop staat.

Dergelijke beslissingen zijn niet bijzonder. Ook WhatsApp heeft soortgelijke veiligheidsproblemen moeten doorstaan als gevolg van de elders liggende prioriteiten. Wil je zeker zijn van je zaak, probeer dan een van deze vijf veilige alternatieven.

Gebruik jij Snapchat?

4,6 miljoen Snapchat-accounts gelekt: het schandaal ligt elders

In de nacht van 31 december werdens de gegevens van meer dan 4,6 miljoen Snapchat-accounts gepubliceerd op een websites. Hackers maakten gebruik van veiligheidslek dat al eerder ontdekt was en gemeld aan de ontwikkelaars van de app.

In dit voorval ligt het echte schandaal niet zo zeer in de aanval van de hackers zelf; die maakten handig gebruik van voor de hand liggende beveiligingsfouten. De vraag is: hoe heeft Snapchat het zo ver laten komen?

SnapchatDB

Een app van 3 miljard vergeet de eigen veiligheid

De waarschuwing dateert van augustus 2013. De benchmark-groep GibsonSec, specialisten in IT-beveiliging, vonden een gat in de beveiliging waardoor het gemakkelijk mogelijk werd om toegang te krijgen tot de telefoongegevens van Snapchat-gebruikers.

GibsonSec avertissement

Enkele maanden later, vier dagen voor de grote aanval welteverstaan, bagatelliseerde Snapchat de waarschuwing, met een openbaar statement dat het bedrijf een aantal maatregelen had getroffen om spam en misbruik tegen te gaan.

Gegevens van 4,6 miljoen gebruikers op straat

Toch werd op oudjaardavond 2013 vertrouwelijke informatie van 4,6 miljoen Snapchat-gebruikers openbaar gepubliceerd. De hackers achter de aanval waren zo netjes om de laatste paar getallen van de gevonden telefoonnummers te vervagen, zodat niet iedereen zomaar met de informatie aan de haal kon.

Niet geheel verrassend maakten deze hackers gebruik van hetzelfde beveiligingsgat dat GibsonSec eerder al blootlegde, maar door Snapchat vooralsnog werd gebagatelliseerd. Inmiddels hebben de hackers laten weten de database te willen verkopen op de zwarte markt.

Het resultaat: als je account is getroffen door deze gegevensdiefstal (dat is te controleren via deze website) is er geen andere oplossing dan je account af te sluiten. Snapchat geeft je (nog) niet de mogelijkheid om je gebruikersnaam te veranderen.

Wat kan er gebeuren als je besluit je account niet te verwijderen? Hackers kunnen bijvoorbeeld onder jouw naam gaan 'sexten': onbehoorlijke plaatjes naar andere telefoonnummers sturen. Let wel: de slachtoffers van het lek zijn voor het meerendeel Amerikanen.

Nalatigheid Snapchat

Ondanks de waarschuwingen vond het team achter Snapchat het dus niet nodig om de beveiligingsproblemen in de app aan de kaak te stellen. Dat is raar, zeker gezien de dienst meer dan 400 miljoen foto's per dag verstuurt.

Is zulke nalatigheid acceptabel voor een bedrijf van deze omvang, met een waarde van miljarden euro's? Het antwoord is nee. Dat vertrouwelijke informatie van miljoenen mensen op straat komt te liggen is één ding, dat de makers van Snapchat niet in staat blijken te reageren op waarschuwingen van beveiligingsexperts is verontrustender.

Snapchat sloeg overigens onlangs een bod van Facebook van 3 miljard dollar (!) af en naar verwachting zal de app een nog breder publiek bereiken in 2014.

De bug is echter nog niet opgelost en we raden je daarom aan niet je telefoonnummer te koppelen aan je Snapchat-account, om onaangename verrassingen te voorkomen.