因为没有官方API，Snapchat就活该遭到黑客入侵?

导语：开发者及安全研究人员称公司在修补技术漏洞方面做得还不够深入细致，导致软件频繁受到未知的第三方应用程序的侵袭。

上周五，数十万张私人照片和视频通过第三方Snapchat客户端在网络上大量传播，引发用户对隐私泄露的恐慌。外界对于本来就被质疑会短命的流行照片分享应用Snapchat展开了新的一轮指责。 Snapchat迅速回应这并不是他们自身安全工作的问题，“我们十分确信Snpachat的服务器从未被攻破，照片不是从我们这泄露出去的。” Snapchat的代表在一次声明中称“通过第三方应用来收发照片是致使Snapchat用户成为信息泄露受害者的原因，我们在使用条款里明令禁止这种行为，第三方平台会损害用户的权益，我们十分紧密地在监控App商店及Google Play，以防有非法第三方应用程序潜入盗取信息。”

对于多数人来讲，问题的关键不是Snapchat是否在防御黑客的技术层面工作做得到不到位，最大的问题并非Snapchat没有官方API, 而是Snapchat缺少官方API的消息在网络上已是公开的秘密。这就意味着Snapchat要依靠其他公司如苹果和谷歌最终来监督哪些程序是安全可用的。从2012年起，安全研究员Adam Caudill 就发出预警，公司的API存在很大的安全缺陷，其他研究员随后也发出了很多类似警告。

以下是本文作者RuSSEll Brandom与开发者之一， Alex Forbes-Reed的对话：

Q:如何利用逆向工程来解决 Snapchat API问题

A:我在Iphone上安装了Snapchat官方应用，在电脑上安装了一个叫做Charles的程序 (一个网络监听器)，同时在设置上也装了一个通关资格证(由Charles发明)。这个证书可以监控所有通过设备的流量，允许Charles在PC机上观察到所有加密了的访问，了解里面都发生了哪些动作和指令。

然后我就像平时一样继续使用设备，在Charles UI 的内部，可以看到这些程序的一切请求，它在这些请求里发送和接受的内容。

Q:Snapchat采用了哪些防范措施

A:像我之前说的，所有的通行都是https——超文本传输安全协议(已经比Instagram好很多， 我朋友Stevie Graham推荐通过单一的http端点对其加以利用)。但他们有一个二进模式用来生成针对每个请求的一个单独的钥匙，对所有使用者一视同仁——有人已经把它发布到网上，所以我们不需要研究可执行的iOS去提取这个钥匙。——那在这个节点上我就可以向Snapchat发送请求，Snapchat程序本身也无从知晓这些请求并非来自非官方用户。

Q:这是一种什么样的程序

A:这是一个针对微软Windows Phone第三方Snapchat客户端——所有功能和特性都符合Snapchat的用户的喜好，所以你无法保存图片。

Q:Snapchat还可以做哪些防范措施

A:关于获取API权限，没有更多工作是他们可以事先可以做的，除非采用OAuth，但那只会拖慢研究员的工作而无法真正将黑客抵挡在外。拿Windows Phone的商店来说，它缺乏大量的第一方app，但很多第三方程序还是被开发出来了。每家公司都成了潜在的攻击对象。

Snapchat如今的安全性与六个月前相比已经改进了很多，解决了例如需要用户提供手机号码及批量用户注册等重大的问题。但对API漏洞的利用问题仍然存在，Snapchat要解决这些问题才能保证其程序被用户接收和使用。

Q:是不是第三方应用，就像声称受到袭击的那些一样，跟Snapchat官方App比起来都天生缺少安全性?如果是，为什么?

A:按照公司给出的说法而言，是的。非第一方App无法保证一些隐藏的程序不发出恶意的指令。在Snapchat的案例中，任何三方应用程序都有可以通过保存你的账户验证载具从远程获取你的照片。或者搜集你的朋友名单向对方发垃圾邮件，获取你邮箱地址，手机号等。对于第一方用户，他们发出的所有行为都是在服务条款之内的，用户需要信任公司不会违背这些条款，但一旦违反，对这些APP开发者来说而言风险是极大的。

但对于那些三方应用程序，违背服务条款不必承担任何风险。你可以向App商店投诉他们的App，根据事态严重性，最坏的结果就是此App被商店除名，根本就算是惩罚。

Q:最优化解决方案 (对于App开发者来，既可以保护用户权益，又维护三方应用生态系统)

A:实行开放制。如果Snapchat做成Facebook，Twitter，Hell甚至是Yo!那样，所有的三方apps都需要验证令牌 (Authentication Token)。一旦发现有程序出现危害性，他们可以撤回令牌，这样程序就无效了。目前Snapchat可以做的就是依靠苹果 ，谷歌或者是微

软去消除这些危险——不仅花费时间而且程序也许会祸及终端用户。实行开放制他们可以看到是哪些程序发出的指令，向Snapchat显示出是否有哪个程序在发出一些具有危害性的动作与指令。(译/Agnes)

(via theverge 译/创业邦)