Snapchat hat sich zu einer Mitte August bekannt gewordenen Sicherheitslücke im Snapchat-System geäußert. Während das Unternehmen erklärt, wie eine Mögliche Attacke aussehen könnte, löst der Anbieter von selbstzerstörenden Nachrichten das Problem nicht.
Im August wendete sich das Sicherheitsunternehmen Gibson Security an den Betreiber der beliebten Android- und iPhone-App. Gibson Security hatte im Freunde-Finden-Feature von Snapchat eine Möglichkeit entdeckt um Nutzernamen und Telefonnummern von Snapchat-Nutzern zu finden. Über Weihnachten veröffentlichte Gibson Security die Forschungsergebnisse, was Snapchat zu einer Stellungnahme bewegte.
Theoretisch kann man eine Datenbank von Snapchat-Nutzern anlegen
Snapchat bestätigt die Ergebnisse in einem Blog-Post. Theoretisch könnte ein Angreifer über die Freunde-Finden-Funktion eine Datenbank von Snapchat-Nutzern anlegen, welche neben dem Nutzernamen auch die Telefonnummer der Nutzer umfasst.
Die Freunde-Finden-Funktion sendet Telefonnummern aus dem Adressbuch eines Nutzers an den Snapchat-Server und gleicht diese mit der allgemeinen Nutzerdatenbank ab. So erfährt man auf eine einfache Art und Weise, welche Freunde die App ebenfalls nutzen.
So funktioniert der Angriff auf Snapchat
Ein Angreifer könnte jede Telefonnummer einer Region oder eines Netzbetreibers im eigenen Telefonbuch einspeichern und diese Daten anschließend mit Snapchat abgleichen. Gut 24 Telefonnummern pro Sekunde könne man dadurch ausspionieren. In nicht einmal zwei Tagen hätte man so – rein theoretisch – alle Einwohner Berlins darauf geprüft, ob sie Snapchat nutzen und mit welchem Nutzernamen. Snapchat-Nutzer könnte man anschließend belästigen oder die Daten an Werbetreibende oder andere Unternehmen verkaufen.
Snapchat sieht kein Problem
Ein großes Problem hinter der Sicherheitslücke sieht Snapchat nicht. Zwar habe man eigenen Angaben nach Gegenmaßnahmen ergriffen um das Ausspionieren von Nutzern zu erschweren. Wie genau diese aussehen sagte man allerdings nicht. Snapchat sieht die Angriffsmöglichkeiten allerdings locker und versucht nicht zu beschwichtigen. So sei die Angabe der Telefonnummer bei Snapchat keine Pflicht. Möchte man die eigene Privatsphäre schützen, sollte man einfach keine eigene Nummer angeben.
