Kwetsbaarheden in de populaire foto-chatapp Snapchat waardoor het mogelijk is om op grote schaal gebruikersnamen aan telefoonnummers te koppelen en valse accounts aan te maken, zijn volgens het bedrijf een theoretisch probleem. Via Snapchat kunnen gebruikers foto's uitwisselen

Iets wat massaal wordt gedaan. Alleen in de Verenigde Staten zou de app meer dan 8 miljoen unieke gebruikers hebben en vorig jaar werden er alleen met de iOS-app al 20 miljoen foto's per dag gedeeld. In augustus van dit jaar rapporteerden onderzoekers van het Australische beveiligingsbedrijf Gibson Security verschillende lekken in Snapchat.

De app beschikt over een functie om vrienden te vinden, genaamd "Find Friends". De onderzoekers ontdekten dat deze functie is te gebruiken om in korte tijd een database met gebruikersnamen en telefoonnummers van gebruikers aan te leggen.

Full disclosure

Na de publicatie in augustus waren de onderzoekers benieuwd of Snapchat de gevonden problemen had opgelost. Dat bleek niet zo te zijn, waarop de onderzoekers tot "full disclosure" zijn overgegaan en alle details hebben prijsgegeven, zodat in theorie anderen de gevonden problemen kunnen misbruiken.

Naast een uitgebreide omschrijving van de aanwezige kwetsbaarheden hebben de onderzoekers ook twee exploits gepubliceerd. De eerste exploit maakt het mogelijk om via Snapchat gebruikersnamen aan telefoonnummers te koppelen. De tweede exploit zorgt ervoor dat er op grote schaal accounts kunnen worden geregistreerd, iets wat handig voor spammers zou zijn.

Ook beweert het Australische beveiligingsbedrijf dat Snapchat tegenover investeerders heeft gelogen door te zeggen dat 70% van de gebruikers vrouw is. Uit analyse van de Snapchat API, een interface waarmee ontwikkelaars met de applicatie kunnen "praten", blijkt dat het geslacht helemaal niet wordt geregistreerd.

Theoretisch probleem

De onderzoekers zeggen dat ze nooit iets van Snapchat hebben gehoord. Snapchat geeft echter wel een reactie op de eigen website, waar het laat weten dat de ontdekte lekken vooral een theoretisch probleem zijn. Volgens Snapchat is het toevoegen van een telefoonnummer aan een Snapchat-account optioneel, maar helpt het om door vrienden gevonden te worden. "We geven de telefoonnummers niet weer aan andere gebruikers en bieden niet de mogelijkheid om telefoonnummers gebaseerd op iemands gebruikersnaam op te vragen", aldus een bericht op het eigen blog.

"In theorie, als iemand een grote verzameling telefoonnummers kan uploaden, zouden ze een database van de resultaten kunnen maken en op die manier telefoonnummers aan gebruikersnamen kunnen koppelen." Het afgelopen jaar zou Snapchat echter verschillende maatregelen hebben genomen om dit lastiger te maken. Ook zouden er onlangs maatregelen zijn genomen om spam en misbruik tegen te gaan.