En artículos anteriores ya hemos hablado de Snaptchat, la aplicación de mensajería instantánea que permite enviar cualquier tipo de contenido y programarlo con una fecha de caducidad, tras la cual, se eliminará de forma segura del sistema. Esta aplicación, normalmente utilizada para el intercambio de fotografías de alto contenido sexual, dispone de un considerable número de fallos que, pese a que han sido reportados, los desarrolladores han decidido ignorarlos.
Gibson Security, una empresa de seguridad, fue uno de los que reportaron varias vulnerabilidades en las bases de datos de esta aplicación y, como en otras ocasiones, los desarrolladores de Snaptchat decidieron que no se trataba de algo grave y decidieron ignorar el informe de Gibson Security. Ahora, los investigadores de Gibson han publicado toda la información sobre las vulnerabilidades de las bases de datos que han detectado con una API correctamente documentada para que cualquier usuario puedan hacer uso de esta y explotar el programa de mensajería.
El primero de los fallos publicado por Gibson Security informa de la posibilidad de extraer una base de datos de los números de teléfono que hacen uso de Snapchat debido a un fallo en la autenticación que, con un programa que se conectara a los servidores de Snapchat y probara secuencialmente una serie de números de teléfono, se devolvería al usuario todos aquellos que en la actualidad estuvieran haciendo uso de la plataforma.
Snapchat tampoco impone un límite de creación de cuentas por lo que un atacante podría crear un gran número de estas en poco tiempo y comenzar a mandar SPAM a través del cliente de mensajería a los números obtenidos en el paso anterior.
Estos fallos de seguridad se pueden solucionar de forma muy sencilla por parte de Snapchat pero, según Gibson Security, la compañía no estaba decidida a hacerlo por lo que han querido forzarla a ello publicando los datos técnicos de dichas vulnerabilidades.
Es de preocupar que una compañía con miles de usuarios y que maneja datos tan sensibles como, por ejemplo, fotos personales, permita este tipo de vulnerabilidades y ataque a los clientes de código abierto alternativos a su plataforma que, en realidad, ofrecen una seguridad digna de un programa capaz de rechazar las ofertas de compra de Facebook.
¿Eres usuario de Snapchat? ¿Qué te parecen las medidas tomadas por Gibson Security?
Fuente: ZDNet