Snapchat- en Facebook Poke-video's blijken eenvoudig te achterhalen

Video's die via de Snapchat- of Facebook Poke-applicatie worden doorgestuurd en zichzelf na korte tijd zouden vernietigen, blijken op eenvoudige wijze uit een cache-directory gehaald te kunnen worden.

De site Buzzfeed schrijft dat het een koud kunstje is om Snapchat-video's te downloaden door een iPhone te koppelen aan een pc en met een iOS-filebrowser als iFunBox naar de tmp-folder in de Snapchat-map te browsen. Vervolgens kunnen de bestanden gekopieerd en dus veiliggesteld worden, ook op iPhones zonder jailbreak.

Ook de onlangs geïntroduceerde Poke-functionaliteit van Facebook blijkt video's op een soortgelijke wijze te cachen, al zijn de tijdelijke bestanden dieper in de directorystructuur genesteld. Poke-clips dienen echter nog niet te zijn bekeken, maar Snapchat zou video's zelfs in de tmp-folder laten staan als deze reeds zijn bekeken. Foto's worden in de twee applicaties niet bewaard in een cache-map.

Beide applicaties beloven gebruikers om de verstuurde video's en foto's te wissen enkele seconden nadat deze door de ontvanger is bekeken. Met name door jongeren worden Snapchat en Poke gebruikt voor het fenomeen sexting: het uitwisselen van erotisch getinte berichten en naaktfoto's. Nu video's op eenvoudige wijze opgeslagen kunnen worden, lijkt de beloofde functionaliteit niet te worden geleverd.

Snapchat laat in een reactie aan Buzzfeed weten dat er 'altijd manieren zullen zijn om technologieproducten te reverse engineeren', maar bij het kopiëren van cachebestanden is daar geen sprake van. Onduidelijk is nog of Snapchat op korte termijn het probleem zal verhelpen door middel van een update. Facebook geeft die helderheid wel: de sociale-netwerksite belooft snel met een update voor de Poke-functionaliteit te komen. Wel tekent het bedrijf daarbij aan dat er altijd manieren zullen overblijven om Pokes op te slaan, bijvoorbeeld door het maken van screenshots of door een afspelende video met een ander apparaat op te nemen,

IT-banen

Reacties (33)

ZpAz

29 december 2012 16:43

Echt, ik verbaas me soms voor dingen die mede-ontwikkelaars produceren. Als ik zie wat voor security lekken soms langs komen, en nu dit ook weer... dan vraag ik me af, hoe krijg je dit als 'groot bedrijf' dit nou voor elkaar?

CaptJackSparrow @ZpAz • 29 december 2012 20:23

In een geval als dit zie ik altijd maar twee mogelijkheden.

1.
Of alle IT-ers en beleidsmakers bij dat hele grote Facebook dat hooggekwalificeerde mensen moet kunnen betalen hadden niet door dat deze dienst zo lek was als een mandje door zwakheden m.b.t. zeer bekende functionele principes (cache) die ook bij niet IT-ers breed bekend zijn en hebben daardoor een dienst geïntroduceerd die totaal niet doet wat deze belooft te doen met potentieel ernstige schade aan de privacy van hun gebruikers tot gevolg.

In dat geval waren ze bij FB dus INCOMPETENT. En niet zo'n beetje ook!

2.
Of de deskundigen en/of de beleidsmakers bij FB wisten donders goed wat ze deden toen ze deze dienst aan het grote publiek gingen aanbieden en waren zich volledig bewust van het feit dat deze dienst zo lek was als een mandje met potentieel ernstige schade aan de privacy van hun gebruikers tot gevolg.

In dat geval waren ze bij FB dus MALAFIDE. En niet zo'n beetje ook!

Weet iemand nog een derde optie? Ik niet.

In mijn boekje moeten dergelijke bedrijven hard aangepakt worden en mag dit soort gedrag stevig afgestraft worden. Is het niet door toezichthoudende instanties dan wel door de gebruikers zelf door een onmiskenbaar signaal af te geven dat men het niet acceptabel vindt dat FB zo onzorgvuldig men hun belangen omspringt.

Patriot @CaptJackSparrow • 30 december 2012 01:22

Er wordt hier gewoon een heleboel heisa gemaakt om niets. Zoals Facebook al zegt: Pokes zijn nooit 100% veilig. Ook als het maar 1 keer wordt afgespeeld, is het mogelijk om zo'n video met een andere camera op te nemen. Zo zijn er vast nog wel meer methodes om de gestuurde content alsnog permanent op te slaan.

In het geval van Snapchat is er wel een probleem: Daar blijven de bestanden ook ná het bekijken staan, en dát gaat tegen het doel van deze apps in. Deze apps zijn niet zozeer bedoeld om de zender van een bericht (al dan niet met beeldmateriaal) te beschermen tegen de ontvanger, maar om zowel de zender als de ontvanger te beschermen tegen het per ongeluk uitlekken van die berichten omdat de ontvanger (én zender) er niet aan hebben gedacht om de boel te verwijderen.

Wasrek @ZpAz • 29 december 2012 16:51

Ik denk dat de mede-ontwikkelaars zich echt wel bewust zijn van de onmogelijkheid van deze facebook feature, echter dat zal het bedrijf waarschijnlijk weinig interesseren als de doelgroep het niet weet (of denkt dat dat hun toch niet overkomt). Er is immers weer een "unieke" feature die bepaalde groepen mensen zeker gaan gebruiken... en dat levert ongetwijfeld geld op.

memphis @ZpAz • 29 december 2012 17:47

Soundcloud is ook zoiets. Bij veel mixen kan je de download button niet aantikken maar even in de trmp internet files kijken en je kunt zo de MP3 eruit trekken als met veel audio en video files.

Ras @memphis • 30 december 2012 16:25

En wat een prachtige kwaliteit audio heb je dan...

Je kunt sowieso alle audio die je computer afspeelt wel opnemen als je dat zou willen. Net als bij deze filmpjes met poke dus. De vraag is, hoe ver moet de app-maker gaan om dit te voorkomen, want wie het echt graag wil die neemt het toch wel op. Als het makkelijk voor iedereen te archiveren is, dan zijn de gebruikers misschien wat voorzichtiger met wat ze filmen/delen.

De standaard soundcloud kwaliteit is overigens wel wat slechter dan de kwaliteit van de downloads die ze bieden.

thefal 29 december 2012 16:47

Ach het is hezelfde verhaal als altijd: Als je eenmaal iets op het internet zet gaat het nooit meer weg. Het zou me niet verbazen als de plaatjes zelfs online op een of andere manier te achterhalen zijn, net als het een tijdje geleden gebeurde met "verwijderde" foto's die nog altijd te achterhalen waren als je de link had.

Fuzzillogic @thefal • 29 december 2012 16:57

Te kort door de bocht. Van privé onderlinge communicatie zoals e-mail mag je écht verwachten (en wettelijk gezien eisen) dat het niet uitlekt. Tenzij een van de partijen het doelbewust openbaar maakt uiteraard.
Communicatie zoals met snapchat en poke valt hier m.i. ook onder. Het probleem is dat het communicatiemedium (wederom) onbetrouwbaar blijkt.

Pas als je materiaal publiekelijk toegankelijk maakt moet je er rekening mee houden dat het wel eens permanent kan zijn.

thefal @Fuzzillogic • 29 december 2012 17:20

Te naief. Het is bij Facebook keer op keer gebleken dat de beveiliging en de privacy minder zijn dan wat ze willen dat je denkt.

http://arstechnica.com/bu...-photos-are-still-online/

http://www.foxnews.com/te...yone-can-see-your-photos/

Daarnaast is het vaak zo dat materiaal publiek wordt gemaakt zonder dat jij dat zelf hebt gedaan, bijvoorbeeld als iemand je tagt op een foto:
http://www.telegraph.co.u...-by-Facebook-sharing.html

Zodra een foto op Facebook staat heb je dus kans dat meer mensen het zien dan de bedoeling was. De regel zou dan ook moeten zijn: Als iets prive is, dan zet je het niet op Facebook, zelfs niet met instellingen als "alleen vrienden kunnen dit zien"

Fuzzillogic @thefal • 29 december 2012 18:22

Ben ik naïef? Ik zeg toch niet voor niets dat het medium, Facebook in dit geval, keer op keer onbetrouwbaar blijkt? Het schept de verwachting van private communicatie, maar ondertussen lekt er veel uit door slechte software, onduidelijke instellingen, veranderende policy's en de drang naar financieel gewin.

Het is ook een grote reden dat ik niets met facebook te maken wil hebben.

Fuzzillogic 29 december 2012 16:45

Ik zie toch keer op keer weer een bevestiging dat het geen goed idee is om je data bij dit soort bedrijven te stallen. Het financiële belang prevaleert boven alle andere belangen. Zelfs dit soort privacyproblemen is gewoon verdisconteerd als kostenpost.

E-mail blijft toch na decennia nog steeds het schoolvoorbeeld van hoe een decentraal, open systeem kan zorgdragen voor goede communicatie terwijl je als gebruiker zelf de regie in handen kunt nemen of naar een andere provider kunt overstappen zonder gelijk al je contacten te verliezen. Voor social media is dat m.i. ook een must.

FicoF @Fuzzillogic • 29 december 2012 17:13

Hoe wil je dat doen? Je linkedin contacten meenemen naar instagram bijvoorbeeld? Lijkt me niet echt wenselijk. Email is eenzijdig, socialmedia gelukkig niet, daar moet de ontvanger van een bericht jou meestal eerst toevoegen.

Fuzzillogic @FicoF • 29 december 2012 17:21

Daarom zeg ik ook "open en decentraal". Dat slaat dan m.n. ook op de protocollen, waarover consensus bereikt zal moeten worden. Er zijn overigens al genoeg kandidaten daarvoor. Het wachten is op het begrip bij het publiek dat Facebook et al er niet voor hen zijn, en op ISP's die niet alleen e-mail gaan aanbieden bij hun abonnement maar ook social media hubs.

E-mail is ook niet "eenzijdig", je kunt prima refereren naar andere mail. Maar ik haal e-mail aan als voorbeeld, niet als medium voor social media...

FabianNL @Fuzzillogic • 29 december 2012 17:22

Volgens mij heb je het artikel niet volledig (correct) gelezen. De data is niet te vinden op de server van 'dit soort bedrijven' maar in een tmp/cache mapje van de ontvanger.
Blijkbaar werkt de dienst niet 100%, dat klopt. Maar om te zeggen dat dat komt dat ze een winstoogmerk hebben... Dat heeft tenslotte (zo goed als) elk bedrijf en/of dienst.

MrBreaker 29 december 2012 16:44

Wel tekent het bedrijf daarbij aan dat er altijd manieren zullen overblijven om Pokes op te slaan, bijvoorbeeld door het maken van screenshots of door een afspelende video met een ander apparaat op te nemen,

Maar daar kiest de ontvanger dan zelf voor, beetje vreemde opmerking van fb in de context van de verklaring..

Reptile209 @MrBreaker • 29 december 2012 16:59

Natuurlijk kiest de ontvanger dat zelf (tenzij het ook vanuit een trojan-app zou kunnen...) Het gaat er juist om dat de *afzender* nooit de 'zekerheid' heeft dat er geen kopieën van het bericht meer zijn.

Saven @Reptile209 • 29 december 2012 17:11

Die zekerheid kun je sowieso niet hebben omdat het altijd wel terug te halen is. Ook als het wel 'echt' gewist is uit die temp dir

MrBreaker @Reptile209 • 30 december 2012 09:22

Ja, maar dat weet je als verzender en daar dien je dan ook rekening mee te houden, vertrouwen is daarin de basis. Maar FB geeft nu in de verklaring aan dat de 'efforts van FB' er eigenlijk niet toe doen want 'er zullen altijd manieren overblijven om Pokes op te slaan'...

Maurice92983 29 december 2012 16:42

Foto's zijn ook vrij simpel als je er een jailbreak op hebt. Activator downloaden -> schudden of een andere toetsencombo koppelen aan screenshot maken

J0HAN @Maurice92983 • 29 december 2012 16:48

Je weet dat je zonder jailbreak ook gewoon de on/off en home button tegelijk kan indrukken voor een screenshot??

Maurice92983 @J0HAN • 29 december 2012 18:00

Jazeker, echter maakt snapchat dan geen screenshot

biglia @J0HAN • 29 december 2012 18:14

Dat wordt wel moeilijk als je weet dat je al met een vinger voortdurend contact met je scherm moet maken terwijl je het snapshat/poke bericht bekijkt.

Metten @biglia • 29 december 2012 18:18

Ach, met een beetje vingervlugheid lukt dat ook wel, maar je moet wel snel zijn. Bij Poke is het in ieder geval wel zo dat de verzendende partij een melding krijgt dat de ontvanger een screenshot heeft gemaakt.

Anoniem: 16328 @J0HAN • 29 december 2012 16:53

Ik weet dat pas sinds een vorig topic over dit onderwerp dus ik denk dat aardig wat mensen dat nog niet weten

Anoniem: 420148 @Anoniem: 16328 • 29 december 2012 18:21

Mijn vrij a-technische vriendin is ook zelf achter screenshotten gekomen. Volgens mij loop je gewoon wat achter of RTFM.

Amanoo 29 december 2012 17:11

Ik had niets anders verwacht. Voor een doeleinde zoals deze systemen hadden, zouden ook toepassingen die veel simpeler zijn opgezet voldoen. Dit werkt helemaal via Facebook-servers die bedoeld zijn om berichten met de halve wereld te delen. Dat kan niet veilig zijn. Het valt me nog mee dat er niet een groter probleem is opgedoken tot nu toe.

Kookie @Amanoo • 29 december 2012 17:58

Ik had niets anders verwacht. Voor een doeleinde zoals deze systemen hadden, zouden ook toepassingen die veel simpeler zijn opgezet voldoen. Dit werkt helemaal via Facebook-servers die bedoeld zijn om berichten met de halve wereld te delen. Dat kan niet veilig zijn. Het valt me nog mee dat er niet een groter probleem is opgedoken tot nu toe.

Jij hebt echt geen idee waar je het over hebt?
Simpeler..zoals? Graag wat voorbeelden als je groot praat...

Facebook mijden heb je ook geen security probleem.

biglia 29 december 2012 18:19

Het blijft gewoon een soort spel/gadget. Ik denk dat de meesten wel weten dat als je écht wil, dat je dan de app kan misbruiken en de boodschap kunt bewaren. Maar als je bepaalde dingen deelt met iemand die je kent, moet je (zoals buiten de app ook het geval is) zeker weten of je die persoon ook kan vertrouwen.

KoploperMau 29 december 2012 22:18

Het lijkt wel een kat en muisspel en het kon natuurlijk ook niet lang duren voordat dit gebeurde, laten we eerlijk wezen... Ben blij dat ik de functie niet gebruik.

Anoniem: 16328 29 december 2012 16:39

Dit kan nog wel eens heel groot gaan worden

dollyking

30 december 2012 09:02

Er komt altijd wel weer een retrieve app.

Op dit item kan niet meer gereageerd worden.

Snapchat- en Facebook Poke-video's blijken eenvoudig te achterhalen

Lees meer

IT-banen

Reacties (33)

Sorteer op:

Weergave: