Abo
  • Services:
Anzeige
Snapix überträgt zahlreiche Daten.
Snapix überträgt zahlreiche Daten. (Bild: Will Strafach)

Sicherheitslücken: Snapchat-Erweiterungen für iOS kopieren Zugangsdaten

Snapix überträgt zahlreiche Daten.
Snapix überträgt zahlreiche Daten. (Bild: Will Strafach)

Snapchat mit ein paar zusätzlichen Features aufmotzen? Oft keine gute Idee, denn die vermeintlichen Helferprogramme für iOS sind unsicher und speichern die Zugangsdaten der Nutzer.

Verschiedene Drittanbieter-Apps für Snapchat übertragen Nutzerdaten unverschlüsselt und auf eigene Server, wie 9to5Mac berichtet. Das Snapchat-Passwort der Nutzer wird dabei an den Drittanbieter-Server übertragen und dort gespeichert.

Anzeige

Der Hacker Will Strafach von der Sudo Security Group hatte die Schwachstellen gefunden. Eine der untersuchten Apps ist Snapix: Die App soll den automatischen Upload von Bildern aus der Kamera-App in Snapchat ermöglichen. Snapix verwendet das Heroku-Framework und leitet die Login-Daten der Nutzer über eine unverschlüsselte Verbindung auf den Snapix-Server, bevor die Zugangsdaten an Snapchat selbst übergeben werden. Auf diesem Weg kann der Anbieter die Informationen selbst sammeln.

Weitere Apps mit Sicherheitsproblemen

Snapix ist nicht die einzige App mit diesem Problem. Auch Quick Upload und Snapbox kommunizieren unverschlüsselt. Beide Apps haben nach Angaben von Strafach unterschiedliche Entwickler, verwenden aber trotzdem den gleichen Backend-Server, der unter "likepotion.topranksoft.com" erreichbar ist. Snapbox übermittle außerdem eine präzise GPS-Position des Nutzers an den Server, heißt es in dem Bericht.

Die untersuchten Apps wurden nicht von Snapchat autorisiert. Daher verwenden sie auch keine üblicherweise in solchen Zusammenhängen genutzten Login-Varianten wie OAuth. Snapchat warnt daher selbst davor, entsprechende Erweiterungen zu installieren.

Strafach hat Apple nach eigenen Angaben über die Vorfälle informiert. Alle getesteten Apps sind nach wie vor in Apples App Store gelistet. Vor einigen Monaten wurde bereits eine inoffizielle Instagram-Erweiterung aus dem App Store entfernt, weil sie ähnliche Probleme aufwies.


eye home zur Startseite
RayBlackX 09. Mär 2016

Eigentlich kommt immer eine Anfrage, beim ersten Mal. Aber ich kann mir vorstellen, dass...



Anzeige

Stellenmarkt
  1. über Schultz & Partner Unternehmens- & Personalberatung, Bremen
  2. über Ratbacher GmbH, Stuttgart
  3. über Ratbacher GmbH, Köln
  4. Continental AG, Regensburg


Anzeige
Top-Angebote
  1. Gratis-Zugaben, Game-Gutscheine oder Cashbacks beim Kauf ausgewählter ASUS-Produkte
  2. (heute u. a. LG OLED-TVs u. PC-Zubehör reduziert)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Online-Hundefutter

    150.000 Euro Strafe wegen unerlaubter Telefonwerbung

  2. Huawei

    Vectoring mit 300 MBit/s wird in Deutschland angewandt

  3. The Dash

    Bragi bekommt Bluetooth-Probleme nicht in den Griff

  4. Bugs in Encase

    Mit dem Forensik-Tool die Polizei hacken

  5. Autonomes Fahren

    Verbraucherschützer fordern "Algorithmen-TÜV"

  6. The Last Guardian im Test

    Gassi gehen mit einem computergesteuerten Riesenbiest

  7. E-Sport

    Cheats und Bots in Südkorea offenbar gesetzlich verboten

  8. Videocodecs

    Netflix nutzt VP9-Codec für Offlinemodus

  9. Kosmobits im Test

    Tausch den Spielecontroller gegen einen Mikrocontroller!

  10. Open Data

    Daten für den Schweizer Verkehr werden frei veröffentlicht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Travelers Box: Münzgeld am Flughafen tauschen
Travelers Box
Münzgeld am Flughafen tauschen
  1. Apple Siri überweist Geld per Paypal mit einem Sprachbefehl
  2. Soziales Netzwerk Paypal-Zahlungen bei Facebook und im Messenger möglich
  3. Zahlungsabwickler Paypal Deutschland bietet kostenlose Rücksendungen an

Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  2. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  3. Pornoseite Xhamster spricht von Fake-Leak

Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

  1. Re: Bei uns lag neulich eine Karte im...

    kaymvoit | 17:02

  2. Re: Und dann ist es vorbei ...

    Peter Brülls | 17:01

  3. Re: Zum richtigen Zeitpunkt gekauft

    EstebanPeligrosso | 16:59

  4. Re: In vielen Ländern Europas ist der...

    Tomek_ | 16:56

  5. was lange währt...

    jake | 16:56


  1. 16:42

  2. 15:05

  3. 14:54

  4. 14:50

  5. 14:14

  6. 14:00

  7. 13:56

  8. 13:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel