Дом Securitywatch Недостаток Snapchat позволяет злоумышленникам сделать твой телефон

Недостаток Snapchat позволяет злоумышленникам сделать твой телефон

Видео: Running an SQL Injection Attack - Computerphile (Ноябрь 2024)

Видео: Running an SQL Injection Attack - Computerphile (Ноябрь 2024)
Anonim

По словам исследователя безопасности, популярное приложение для обмена сообщениями с картинками Snapchat может быть использовано для запуска атаки типа «отказ в обслуживании» на iPhone пользователя.

Карманный DDOS

Хакеры Санчес, консультант по безопасности испанской телекоммуникационной компании Telefonica, пишет, что злоумышленники могут заполнить учетную запись пользователя Snapchat тысячами сообщений за считанные секунды, что приведет к зависанию приложения и поломке всего устройства. Пользователям может потребоваться выполнить полную перезагрузку своих iPhone для восстановления.

Санчес продемонстрировал слабость, отправив 1000 сообщений в течение пяти секунд на аккаунт Snapchat корреспондента Los Angeles Times Сальвадора Родригеса, в результате чего его устройство выключилось и перезагрузилось, сообщает Times. По словам Санчеса, атака не приведет к краху устройств Android, хотя они станут медленными и приложение будет невозможно использовать.

Приложение Snapchat, обеспечивающее конфиденциальность, позволяет пользователям отправлять фото и видео сообщения, которые исчезают вскоре после того, как получатель их просмотрел. Когда пользователь отправляет сообщение, приложение генерирует новый токен для проверки пользователя. К сожалению, похоже, что старые токены также можно использовать для отправки дополнительных сообщений, обнаружил Санчес.

Плохая репутация в сфере безопасности

Snapchat позиционирует себя как приложение для обмена сообщениями, обеспечивающее конфиденциальность, но в последнее время боролся с проблемами безопасности. Это последнее открытие только усугубляет плохую репутацию компании среди исследователей кибербезопасности.

Прошлым летом компания отклонила сообщения исследовательской группы Gibson Security о недостатке в приложении, который можно было использовать для раскрытия пользовательских данных. В канун Нового года другая группа успешно воспользовалась этой уязвимостью и опубликовала имена пользователей и номера телефонов почти пяти миллионов пользователей. Snapchat выкатил исправление, чтобы закрыть дыру через несколько дней.

Санчес не стал связываться с Snapchat и сразу отправился в Los Angeles Times, потому что стартап не заботится о безопасности - или, по крайней мере, об исследователях безопасности, сказал он. Это тревожная репутация для компании, которая пытается привлечь пользователей, обеспокоенных своей конфиденциальностью в Интернете.

Учитывая, что у службы есть проблема со спамом, тот факт, что спамеры могут использовать один и тот же токен для отправки тысяч сообщений, означает, что пользователи могут столкнуться с еще большим количеством спама в ближайшие дни. Злоумышленники также могут запускать целевые атаки против определенных пользователей, временно делая их мобильные устройства непригодными для использования.

Исправление идет?

Компания сообщила «Таймс», что ей было любопытно, какую слабость обнаружил Санчес, и что она будет расследовать. Тем не менее, Санчес заявил в Twitter, что Snapchat заблокировал две учетные записи, которые он использовал для тестирования, а также IP-адрес VPN, которую он использует.

«Это их контрмеры», - сказал Санчес.

Безопасный обмен сообщениями становится все более загруженным пространством, и если Snapchat хочет сохранить свою популярность, он должен немедленно изменить свою плохую репутацию в области безопасности. И первым шагом к этому является серьезное отношение к сообществу исследователей.

Недостаток Snapchat позволяет злоумышленникам сделать твой телефон