Broncode van Snapchats iOS-app stond tijd op GitHub

Een deel van de broncode van Snapchats iOS-app stond mogelijk twee maanden lang op GitHub. Snapchat openbaarde de code per ongeluk in mei, bij een update van zijn iOS-app. Een persoon die dat ontdekte, publiceerde de code op GitHub. De code is inmiddels offline gehaald.

De publicatie van de broncode kwam aan het licht door het beroep dat Snapchat deed op basis van de Digital Millennium Copyright Act, om de data offline te halen. Onder andere de beveiligingsonderzoeker met de alias x0rz publiceerde hierover. De onderzoeker merkte op dat het waarschijnlijk niet om de gehele app ging, aangezien de dataomvang daarvoor te klein was.

Snapchat bevestigt tegenover Motherboard dat het in mei een klein deel van de iOS-broncode per ongeluk vrijgaf, wat direct verholpen zou zijn. Volgens The Next Web lijkt het erop dat een persoon met een Arabisch GitHub-account verantwoordelijk is voor de publicatie. Die zou geprobeerd hebben contact op te nemen met Snapchat, wat niet gelukt zou zijn, ondanks dat Snapchat gebruikmaakt van het bugbountyplatform HackerOne.

De code zou meer dan twee maanden online hebben gestaan, maar volgens Snapchat was er geen risico op misbruik van de app of de gebruikers ervan. Broncode kan concurrenten of kwaadwillenden inzicht geven in de werking van software, zodat functionaliteit kan worden nagemaakt of onontdekte beveiligingsgaten kunnen worden ontdekt.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 08-08-2018 09:2234

08-08-2018 • 09:22

34 Linkedin

Lees meer

'Snapchat gaat vanaf april games aanbieden' Nieuws van 17 maart 2019
Gebruikers Snapchat kunnen via beeldherkenning producten vinden op Amazon Nieuws van 25 september 2018
Vlotter redesign Snapchat op Android toegankelijk voor gebruikers met root Nieuws van 19 augustus 2018
'Stagiair bij Apple was verantwoordelijk voor lekken iBoot-broncode' Nieuws van 10 februari 2018
Apple: veiligheid producten is niet in geding door uitlekken iBoot-code Nieuws van 8 februari 2018
'Broncode van iBoot-bootloader voor iOS 9 verschijnt op GitHub' Nieuws van 8 februari 2018
Meer producten en artikelen
Software Beveiliging en antivirus Github Snapchat

Reacties (34)

-Moderatie-faq
34
30
13
2
1
4
Wijzig sortering
Nees
8 augustus 2018 09:33
Once it's on the internet...

Maar eerlijk, Snapchat is dood imo sinds Instagram dezelfde functies heeft.

Ik gebruik het persoonlijk al niet meer of zeeeeer zelden als ik er eens aan denk. De layout is gewoon kut geworden. Ik merk ook dat mensen die vroeger meer posten, nu ook amper er nog iets op doen en meer op insta zetten.

Vraag me nu wel af of de code nog ergens anders te vinden is, dat mensen deze zeker gedownload zullen hebben.
Tijgertje
@Nees8 augustus 2018 12:04
Snapchat is absoluut niet dood, Q1 van 2018 nog altijd 191 miljoen actieve gebruikers. Daarnaast zie ik mijn omgeving dat Snapchat veel meer gebruikt wordt dan Instagram, voornamelijk doordat het sturen van foto's naar specifieke personen veel makkelijker is.

Daarnaast is de layout tegenwoordig aangepast, met de verhalen weer een swipe naar rechts.
Nees
@Tijgertje8 augustus 2018 12:14
Wat is een actieve gebruiker?

Snapchat staat op m'n telefoon, ben ingelogged. Check het 1x per maand mss, post zelf niets meer.
Tel ik nog als actieve gebruiker in de stats? Waarschijnlijk wel...
84hannes
@Nees8 augustus 2018 09:48
Maar eerlijk, Snapchat is dood imo sinds Instagram dezelfde functies heeft.
Telegram heeft ‘deze functie’ al jaar en dag, maar daar gaat het niet om. Bij Snapchat is verdwijnende berichten de hoofdfunctionaliteit. Daarbij is Snapchat niet van Mr. Zuckerberg, ook wat waard voor mensen die in een eerlijke open en vrije markt geloven.
keenan001
@84hannes8 augustus 2018 09:54
Denk je werkelijk dat de doorsnee puber (bulk van de snapchat users) zich bekommert over wie de eigenaar is?
larssieboy18
@keenan0018 augustus 2018 10:49
Ja. De meeste "pupers" volgen het nieuws zeker wel of krijgen er in ieder geval het een en ander van mee. Het moment dat een bedrijf als Facebook lange tijd negatief in het nieuws is (+hun (groot)ouders beginnen het te gebruiker) is het al snel aantrekkelijk om een alternatief te zoeken. Snapchat is daarvoor ideaal, omdat het (in ieder geval de schijn wekt dat) goed omgaat met gevoelige informatie en foto's/chats maar een bepaalde tijd zichtbaar zijn voor de ander
Luca
@larssieboy188 augustus 2018 14:05
Leuk ideaal, maar dat is niet waar. Het interesseert ze uiteindelijk echt niet wie de eigenaar is. Hetgeen wat echt uitmaakt, is waar de meeste vrienden op zitten. En het is inmiddels bekend dat er een grote switch is geweest van Snapchat naar Instagram. Geef ze eens ongelijk, Instagram is een veel completere applicatie geworden. Dus ook de features van het foto's voor beperkte tijd zichtbaar houden zit gewoon in Instagram tegenwoordig, waardoor Snapchat langzaamaan haar marktaandeel zal gaan verliezen van Instagram. De vraag is hoe lang Snapchat relevant kan blijven, zij hebben niet een Facebook achter zich zitten.

[Reactie gewijzigd door Luca op 8 augustus 2018 15:12]

Christoxz
@Nees8 augustus 2018 09:42
Snapchat daalt inderdaad in gebruikers, Q1 vs Q2 '18 zijn ze 2% gedaald in actieve gebruikers.
Layout is sinds kort weer deels aangepast waardoor het qua verhalen bijna weer werkt zoals voorheen.

Ik heb het vermoede dat het een tijdelijke dip is, veel klachten geweest in Q2 mede door de toegepaste wijzigingen. Een deel zal terug keren en zullen ook weer nieuwe gebruikers komen.

Interessant;
https://www.cnbc.com/2018/08/07/snap-q2-2018-earnings.html
https://www.statista.com/statistics/545967/snapchat-app-dau/

Admin-edit:Linken naar de gelekte bestanden is niet toegestaan

[Reactie gewijzigd door Bor op 8 augustus 2018 11:36]

Christoxz
@bluegoaindian8 augustus 2018 12:57
Persoonlijk bij het plaatsen niet aan gedacht, maar is toch gewoon begrijpelijk? Zijn beschermde bestanden. (Denk even aan GeenStijl met het linken aan het filmpje, dit hebben ze verloren)
bluegoaindian
@Christoxz8 augustus 2018 20:19
Persoonlijk bij het plaatsen niet aan gedacht, maar is toch gewoon begrijpelijk? Zijn beschermde bestanden. (Denk even aan GeenStijl met het linken aan het filmpje, dit hebben ze verloren)
github of een filmpje van een slachtoffer prive materiaal is nogal een verschil.
het doel bij het GS filmpje was duidelijk iemand veroordelen voor haar gedrag , dit kan je bij github niet stellen , je hebt kans dat deze bestanden nu veel meer verspreid worden.
er is geen directe persoonlijke schade in het geding bij dit github lek.
In het geval van GS stond het bestand op ge dumpert site ,,, een site beheert door GS ,,, als je een dienst als tiny.url er tussen gooi link je het niet meer ditect.

[Reactie gewijzigd door bluegoaindian op 8 augustus 2018 20:20]

snippiestgem
@Nees8 augustus 2018 09:50
De layout is gewoon kut geworden.
Daarom heb ik de app ook niet ge-update. Helaas proberen ze dat wel bij al hun gebruikers te forceren door bepaalde functionaliteiten in de app te blokkeren. Daarnaast wordt er dan aan de gebruiker gemeld dat ze hun app moeten updaten om mee te kunnen doen met de rest. Wanneer de app echt onbruikbaar wordt is het ook tijd om die te verwijderen.

Instagram heb ik sinds een paar maanden al niet meer, zag het nut/de lol er niet van in. Alleen maar mensen die tegen elkaar vechten om wie de leukste vakantiefoto's heeft met de gedachte hoger in de sociale ladder te geraken. Nee, doe mij maar een gezellige vriendengroep waar je je niet leuker voor hoeft te doen dan wat je daadwerkelijk bent.

Ik vraag mij echt af of er een punt komt dat mensen social media zat zijn, of dat het de basis wordt van een samenleving waarbij het voor iedereen verplicht is om bijvoorbeeld een Facebook account te hebben. (Althans, zo begint het voor mij al te voelen)
Firilith
8 augustus 2018 09:54
Is dit niet vooral interessant voor onder andere de makers van SnapSave Applicaties?
t1mmy
@Firilith8 augustus 2018 10:10
Daar lijkt het niet op, alle code die online staat lijkt te gaan over hoe hun camera code onderwater werkt en er lijkt geen code in te zitten die de communicatie met hun servers regelt
Firilith
@t1mmy8 augustus 2018 11:15
Dus als ik het juist begrijp niet echt iets noemenswaardig tenzij er iemand de camera wil clonen?
Sharkoon
8 augustus 2018 09:46
Kun je zoiets niet decompilen?
Luca_Scorpion
@Sharkoon8 augustus 2018 10:16
In theorie ja, alles wat runt kan je decompilen. Hoe makkelijk dat is en hoe duidelijk het resultaat is hangt een beetje af van de taal waarin het geschreven is. High-level talen zoals C# en Java zijn over het algemeen makkelijk te decompilen naar (redelijk) leesbare code. Talen als C en C++ zijn iets lastiger. Maar hoe dan ook, gedecompilede code is nooit zo duidelijk als de echte source, o.a. omdat die ook alle comments etc nog bevat.
Christoxz
@Sharkoon8 augustus 2018 09:47
Het is een source code..
raro007
8 augustus 2018 09:32
ook al kunnen ze het namaken dan nog zullen ze snapchat niet inhalen.
dit is wel handig voor de chinesen die kunnen dan snapchat gaan blokkeren (als dat al niet zo is) en eigen versie online brengen.
rolandlub
@raro0078 augustus 2018 09:48
Namaken is ook niet wat er interessant aan is.
Beveiliging en data vergaring.
raro007
@rolandlub8 augustus 2018 09:56
Dat klopt maar veel mensen denken als eerst aan namaak.
Maar het is ook maar een gedeelte van snap chat, dus schiet je ook niet zo veel mee op.
rolandlub
@raro0078 augustus 2018 09:59
*jij denkt als eerst aan namaak.
Wanneer ik lees dat er broncode online is gekomen denk 'ik' eerst aan beveiliging.

Als programmeur is het leuk om een broncode te hebben om wat na te maken, maar meestal gaat het sneller en beter om het alsnog zelf te maken.
Wellicht in de broncode even kijken hoe ze het één en ander opgelost hebben maar verder niet interessant.
Peatsmoke
@raro0078 augustus 2018 10:13
Het aandeel programmeurs op Github is imho wel wat groter dan 2%. ;)
FreshMaker
@raro0078 augustus 2018 10:12
Jij bent een programmeur die zo denkt.
Hoeveel van die mensen die dit nieuws gaat lezen is programmeur? *ik* denk niet eens 2%...
Geen programmeur, maar wel was mijn gedachte veiligheid ...
Dus jouw percentage word al groter
wica
8 augustus 2018 09:31
Did someone take a snapshot? ;)
svenslootweg
8 augustus 2018 11:32
Broncode kan concurrenten of kwaadwillenden inzicht geven in de werking van software, zodat functionaliteit kan worden nagemaakt of onontdekte beveiligingsgaten kunnen worden ontdekt.
Beetje jammer dat ook Tweakers dit sterk achterhaalde idee aan blijft wakkeren, dat publicatie van broncode tot de ontdekking van beveiligingsgaten zou leiden.

Dat kan ook prima zonder toegang tot de broncode, en proberen om die reden je broncode geheim te houden is gewoon een vorm van 'security through obscurity'; een aanpak waarvan al lang vast staat dat het geen zinnige aanpak is omdat hij niet effectief is.

EDIT: Het punt over nagemaakte functionaliteit is overigens niet veel zinniger. Het is niet alsof Snapchat nu revolutionaire nieuwe systemen implementeert; je kunt als enigszins competente ontwikkelaar zo ook wel raden hoe de implementatie in elkaar zit en het namaken, puur door naar het gedrag van de applicatie te kijken.

Ik vind het maar rare opmerkingen.

[Reactie gewijzigd door svenslootweg op 8 augustus 2018 11:34]

WK100
@svenslootweg8 augustus 2018 11:59
Het is dan ook geen achterhaald idee. Als een partij precies weet hoe de logica in elkaar steekt, kan deze partij gericht aanvallen doen - het is mogelijk om van tevoren al te bepalen hoe een aanval door het systeem propageert.
Een simpel voorbeeld is broncode van een externe interface. Als je weet dat deze met een database werkt, en de inputs worden niet adequaat gefilterd dan zie je direct dat een injectie-aanval mogelijk is.

Je haalt nu een opvatting (security through obscurity) en een observatie van feiten door elkaar.

[Reactie gewijzigd door WK100 op 8 augustus 2018 12:01]

FiXato
@WK1008 augustus 2018 13:36
Daarentegen als de broncode open is, kunnen deze gaten sneller ontdekt en gerapporteerd worden door een groter publiek, zeker wanneer het gecombineerd wordt met een bugbounty programma.
Echter, voor dit is het wel wijs dat de code expres openbaar gemaakt wordt, en niet met een leak. ;)
DigitalExorcist
8 augustus 2018 13:15
Geheel offtopic wellicht maar ik snap echt werkelijk niks van dat hele Snapchat. Onoverzichtelijke interface, voor m'n gevoel honderd manieren om hetzelfde te doen, snaps die wel verdwijnen maar chats niet helemaal (soms alleen de eerste regel van 4 weken geleden nog te zien maar het vervolg niet meer).

Maar ja. Ik zal er wel te oud voor zijn.
sstfn
@DigitalExorcist8 augustus 2018 14:41
Helemaal mee eens. Ik ga ook niet meer mee doen met al die apps, maar kinderen daar in tegen wel, die van mijn collega bijvoorbeeld die hameren erop dat ze elke dag wel iets erop moeten zetten want anders zijn hun snap-dagen weg.

Wij denken vast "nou en...", hun denken dat de wereld vergaat. :D
DigitalExorcist
@sstfn8 augustus 2018 17:55
Mn oudste dochter gebruikt het ook. Geen FB daarentegen. Maar ik vind het een onbruikbaar broddelwerk...

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee