Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Broncode van Snapchats iOS-app stond tijd op GitHub

Een deel van de broncode van Snapchats iOS-app stond mogelijk twee maanden lang op GitHub. Snapchat openbaarde de code per ongeluk in mei, bij een update van zijn iOS-app. Een persoon die dat ontdekte, publiceerde de code op GitHub. De code is inmiddels offline gehaald.

De publicatie van de broncode kwam aan het licht door het beroep dat Snapchat deed op basis van de Digital Millennium Copyright Act, om de data offline te halen. Onder andere de beveiligingsonderzoeker met de alias x0rz publiceerde hierover. De onderzoeker merkte op dat het waarschijnlijk niet om de gehele app ging, aangezien de dataomvang daarvoor te klein was.

Snapchat bevestigt tegenover Motherboard dat het in mei een klein deel van de iOS-broncode per ongeluk vrijgaf, wat direct verholpen zou zijn. Volgens The Next Web lijkt het erop dat een persoon met een Arabisch GitHub-account verantwoordelijk is voor de publicatie. Die zou geprobeerd hebben contact op te nemen met Snapchat, wat niet gelukt zou zijn, ondanks dat Snapchat gebruikmaakt van het bugbountyplatform HackerOne.

De code zou meer dan twee maanden online hebben gestaan, maar volgens Snapchat was er geen risico op misbruik van de app of de gebruikers ervan. Broncode kan concurrenten of kwaadwillenden inzicht geven in de werking van software, zodat functionaliteit kan worden nagemaakt of onontdekte beveiligingsgaten kunnen worden ontdekt.

Door Olaf van Miltenburg

Nieuwscoördinator

08-08-2018 • 09:22

34 Linkedin Google+

Reacties (34)

Wijzig sortering
Wat is een actieve gebruiker?

Snapchat staat op m'n telefoon, ben ingelogged. Check het 1x per maand mss, post zelf niets meer.
Tel ik nog als actieve gebruiker in de stats? Waarschijnlijk wel...
Persoonlijk bij het plaatsen niet aan gedacht, maar is toch gewoon begrijpelijk? Zijn beschermde bestanden. (Denk even aan GeenStijl met het linken aan het filmpje, dit hebben ze verloren)
github of een filmpje van een slachtoffer prive materiaal is nogal een verschil.
het doel bij het GS filmpje was duidelijk iemand veroordelen voor haar gedrag , dit kan je bij github niet stellen , je hebt kans dat deze bestanden nu veel meer verspreid worden.
er is geen directe persoonlijke schade in het geding bij dit github lek.
In het geval van GS stond het bestand op ge dumpert site ,,, een site beheert door GS ,,, als je een dienst als tiny.url er tussen gooi link je het niet meer ditect.

[Reactie gewijzigd door bluegoaindian op 8 augustus 2018 20:20]

Dus als ik het juist begrijp niet echt iets noemenswaardig tenzij er iemand de camera wil clonen?
Het is dan ook geen achterhaald idee. Als een partij precies weet hoe de logica in elkaar steekt, kan deze partij gericht aanvallen doen - het is mogelijk om van tevoren al te bepalen hoe een aanval door het systeem propageert.
Een simpel voorbeeld is broncode van een externe interface. Als je weet dat deze met een database werkt, en de inputs worden niet adequaat gefilterd dan zie je direct dat een injectie-aanval mogelijk is.

Je haalt nu een opvatting (security through obscurity) en een observatie van feiten door elkaar.

[Reactie gewijzigd door WK100 op 8 augustus 2018 12:01]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True