Vídeo: Реклама подобрана на основе следующей информации: (Novembro 2024)
O popular aplicativo de mensagens com imagens Snapchat pode ser usado para iniciar um ataque de negação de serviço contra o iPhone de um usuário, disse um pesquisador de segurança.
Pocket DDOS
Os invasores podem inundar a conta de um usuário do Snapchat com milhares de mensagens em questão de segundos, causando o congelamento do aplicativo e todo o dispositivo travar, escreveu Jaime Sanchez, consultor de segurança da empresa espanhola de telecomunicações Telefonica, em um post no seguridadofensiva.com. Os usuários podem precisar executar uma redefinição forçada em seus iPhones para se recuperar.
Sanchez demonstrou a fraqueza enviando 1.000 mensagens em cinco segundos para a conta do Snapchat de Salvador Rodriguez, repórter do Los Angeles Times, causando o desligamento e a reinicialização do dispositivo, informou o Times. O ataque não trava os dispositivos Android, embora eles fiquem lentos e o aplicativo seja impossível de usar, disse Sanchez.
O aplicativo voltado para a privacidade do Snapchat permite que os usuários enviem mensagens de foto e vídeo que desaparecem logo após o destinatário as visualizar. Quando um usuário envia uma mensagem, o aplicativo gera um novo token para verificar o usuário. Infelizmente, parece que os tokens antigos também podem ser reutilizados para enviar mensagens adicionais, concluiu Sanchez.
Má reputação de segurança
O Snapchat se posiciona como o aplicativo de mensagens voltado para a privacidade, mas recentemente enfrentou problemas de segurança. Essa descoberta mais recente exacerba a má reputação da empresa entre os pesquisadores de segurança cibernética.
A empresa descartou relatórios do grupo de pesquisa Gibson Security no verão passado sobre uma falha no aplicativo que poderia ser usada para expor os dados do usuário. Na véspera de Ano Novo, outro grupo explorou com êxito a vulnerabilidade e publicou nomes de usuário e números de telefone de quase cinco milhões de usuários. O Snapchat lançou uma correção para fechar o buraco dias depois.
Sanchez não se incomodou em entrar em contato com o Snapchat e foi direto ao Los Angeles Times porque a startup não se importa com segurança - ou pelo menos com pesquisadores de segurança, disse ele. Essa é uma reputação preocupante para uma empresa que tenta atrair usuários preocupados com sua privacidade online.
Considerando que o serviço tem um problema de spam, o fato de os remetentes de spam usarem o mesmo token para enviar milhares de mensagens significa que os usuários podem estar lidando com ainda mais spam nos próximos dias. Os invasores também podem lançar ataques direcionados contra usuários específicos, tornando temporariamente inutilizáveis seus dispositivos móveis.
Uma correção está chegando?
A empresa disse ao Times que estava curiosa sobre a fraqueza que Sanchez descobriu e estaria investigando. No entanto, Sanchez afirmou no Twitter que o Snapchat havia bloqueado duas contas que ele estava usando para testes, bem como o endereço IP da VPN que ele usa.
"Essa é a contramedida", disse Sanchez.
As mensagens seguras são um espaço cada vez mais movimentado e, se o Snapchat quiser manter sua popularidade, precisará reverter imediatamente sua má reputação de segurança. E o primeiro passo para fazer isso é levar a comunidade de pesquisadores a sério.