上週五，數萬張圖片從第三方Snapchat應用程式上開始在網際網路上流傳，引發隱私警報，並引發了對這一流行照片共享應用的短暫性的新批評。Snpachat很快宣佈問題不是他們自己的安全。”我們可以確認Snapchat的伺服器從未被破壞，也不是這些洩密的來源，”Snapchat的一位代表在一份宣告中說Snapchatters使用第三方應用程式傳送和接收快照而受害，我們明確禁止這種做法，因為它們損害了使用者的安全性。我們警惕地監控App Store和Google Play是否存在非法的第三方應用程式，併成功地刪除了其中許多應用程式。”

然而，對於許多人來說，問題在於Snapchat是否在技術層面上對非關聯應用進行了安全保護，從而足以保護其使用者。最大的問題是Snapchat沒有官方的API，但它的非官方API是一個公開的祕密，在網路上廣泛傳播。這意味著Snapchat依賴於蘋果和谷歌等其他公司來最終監管哪些應用程式是安全的和可用的。自2012年以來，安全研究人員adamcaudill一直警告稱，該公司的API存在幾個嚴重的安全漏洞，這是許多其他研究人員附議的。

我們採訪了一位開發人員，Alex Forbes Reed，他說他最近對Snapchat的API進行反向工程並沒有遇到任何問題，他懷疑SnapSaved的工程師也很容易做同樣的事情，SnapSaved是據稱被盜照片的來源(snapsave承認自己遭到了駭客攻擊，不過它對被盜資料的數量提出了異議。）下麵是對福布斯裡德（Forbes Reed）的一次採訪，講述了他開發非官方Snapchat應用程式的經歷。

您是如何對Snapchat API進行反向工程的？我在iPhone上安裝了官方的Snapchat應用程式，在我的膝上型電腦上安裝了一個名為Charles的應用程式（這是一個網路嗅探器，它允許我監視透過家庭網路的所有流量），併在我的裝置上安裝了一個自定義證書（由Charles建立）。該證書再次對透過我的裝置的所有“安全”https流量進行簽名，從而允許Charles（在我的PC上）監視加密的流量並檢視其中的情況。

然後，我像往常一樣開始使用這個應用程式，在Charles'UI中，我可以看到應用程式所做的請求，以及它在這些請求中傳送和接收的內容。

“一旦影象進入Snapchat伺服器，它就不再是私有的。”

Snapchat有什麼保護措施來防止這種情況？就像我之前說過的，所有的流量都是https（已經比Instagram好了，我的一個朋友Stevie Graham發現了一種透過單個http端點利用它的方法），但是它們有一個二進位制模式，用於為每個請求生成唯一的金鑰。問題是，這個二進位制模式儲存在應用程式中，對每個使用者來說都是一樣的——而且有人已經把它釋出到網上了，所以我甚至不需要檢視iOS可執行檔案來提取金鑰——所以現在，我剛開始向snapchat傳送請求，但它不知道這些請求不是來自官方客戶。

你在建立什麼樣的應用程式？它是針對Windows Phone的第三方Snapchat客戶端-沒有Snapchat不需要的任何功能，因此無法儲存快照等。

Snapchat可以做些什麼來阻止您這樣做？在訪問API方面，他們做不了什麼。也許如果他們轉向使用OAuth，會減慢研究人員的速度，但不會阻止他們。例如，如果你看看windowsphone的應用商店，它缺乏大量的第一方應用程式，但人們還是開發了第三方應用程式。每個公司都是這個潛在的攻擊向量的受害者。

“API中仍然存在漏洞，這些漏洞需要Snapchat修複才能被利用。”

它從一開始就需要一個完全不同的體系結構嗎？當然，Snapchat可以透過多種方式清理它們的API。版本，這樣他們就可以在不破壞應用程式以前版本的情況下更新API——目前他們只能對新的端點/變數進行駭客攻擊。另外，目前每個快照都使用相同的AES金鑰加密—對此沒有什麼辦法，因為這會破壞對舊客戶端的支援。為帳戶新增速率限制，這樣一個帳戶就不能傳送垃圾郵件和快照(這將減少可怕的snapchat廣告垃圾郵件。）

儘管如此，如果你將Snapchat的安全現狀與六個月前相比，它的安全性有了很大的提高。他們解決了一些主要問題，包括從使用者那裡獲取電話號碼，以及大量註冊帳戶。但是API中仍然存在漏洞，在漏洞被利用之前，由Snapchat來修複這些漏洞。

第三方應用程式（比如被駭客攻擊的應用程式）是否天生就不如官方Snapchat應用程式安全？如果是，為什麼？是的，根據他們的定義。當某些東西不是第一方的時候，你不能保證你看不到的程式碼沒有做惡意的事情。在Snapchat中，任何第三方應用程式都可以儲存您帳戶的身份驗證令牌並從您的帳戶遠端提取快照。或者收集你朋友的垃圾郵件列表。或者訪問你的電子郵件地址和電話號碼，然後在網上銷售。對於第一方客戶，它所做的一切都是在服務條款上，你一般可以相信公司不會違反這些條款，因為風險是巨大的。

對於第三方應用程式，打破服務條款一點也不冒險。我可以將一個應用釋出到應用商店，它違反了我自己的條款或條件，而我身上最糟糕的事情（取決於嚴重程度）將被我的應用程式從應用商店中提取。根本就沒有懲罰。

對於那些既想保護使用者又想培育第三方應用生態系統的應用程式開發者來說，你認為最好的解決方案/方法是什麼？

把它開啟。如果Snapchat走上了Facebook、Twitter和地獄之路，哪怕是喲！，所有第三方應用程式都會有自己的身份驗證令牌，如果某個應用程式被髮現做了一些惡意的事情，他們可以撤銷這些令牌，那麼該應用程式就會死亡。現在，他們所能做的就是要求蘋果/谷歌/微軟把它取下來——這需要時間，而且仍然意味著這個應用程式可能會給終端使用者帶來問題。他們還可以看到哪些應用程式在做什麼，這些分析可以顯示Snapchat，如果一個應用程式正在做一些看起來惡意的事情。

拉塞爾·布蘭多姆對這份報告做出了貢獻。