Video: 12 Pericolose App di Android Che Devi Immediatamente Cancellare (Novembre 2024)
La popolare app di messaggistica Picture Snapchat può essere utilizzata per lanciare un attacco denial of service contro l'iPhone di un utente, ha detto un ricercatore di sicurezza.
Pocket DDOS
Gli aggressori possono inondare l'account di un utente Snapchat con migliaia di messaggi in pochi secondi, causando il blocco dell'app e il crash dell'intero dispositivo, Jaime Sanchez, un consulente di sicurezza della società di telecomunicazioni spagnola Telefonica, ha scritto su un post su seguridadofensiva.com. Per ripristinare gli utenti, potrebbe essere necessario eseguire un hard reset sul proprio iPhone.
Sanchez ha dimostrato la debolezza inviando 1.000 messaggi in cinque secondi all'account Snapchat del reporter del Los Angeles Times Salvador Rodriguez, causando l'arresto e il riavvio del dispositivo, ha riferito il Times. L'attacco non bloccherà i dispositivi Android, anche se diventeranno lenti e l'app sarà impossibile da usare, ha detto Sanchez.
L'app attenta alla privacy di Snapchat consente agli utenti di inviare messaggi fotografici e video che scompaiono poco dopo che il destinatario li ha visualizzati. Quando un utente invia un messaggio, l'app genera un nuovo token per verificare l'utente. Sfortunatamente, sembra che anche i vecchi token possano essere riutilizzati per inviare messaggi aggiuntivi, ha scoperto Sanchez.
Reputazione di sicurezza scadente
Snapchat si posiziona come l'app di messaggistica rispettosa della privacy, ma ha recentemente lottato con problemi di sicurezza. Quest'ultima scoperta non fa che aggravare la scarsa reputazione dell'azienda tra i ricercatori di sicurezza informatica.
La scorsa estate la società ha ignorato i rapporti del gruppo di ricerca Gibson Security di un difetto all'interno dell'app che poteva essere utilizzato per esporre i dati degli utenti. Alla vigilia di Capodanno, un altro gruppo ha sfruttato con successo la vulnerabilità e ha pubblicato nomi utente e numeri di telefono di quasi cinque milioni di utenti. Snapchat ha lanciato una correzione per chiudere il buco giorni dopo.
Sanchez non si è preso la briga di contattare Snapchat e è andato direttamente al Los Angeles Times perché la startup non si preoccupa della sicurezza, o almeno dei ricercatori sulla sicurezza, ha detto. Questa è una reputazione preoccupante per un'azienda che cerca di attirare gli utenti preoccupati per la loro privacy online.
Considerando che il servizio ha un problema di spam, il fatto che gli spammer possano semplicemente usare lo stesso token per inviare migliaia di messaggi significa che gli utenti potrebbero avere a che fare con ancora più spam nei giorni a venire. Gli aggressori possono anche lanciare attacchi mirati contro utenti specifici, rendendo temporaneamente inutilizzabili i loro dispositivi mobili.
Una correzione sta arrivando?
La compagnia disse al Times che era curioso della debolezza scoperta da Sanchez e che avrebbe indagato. Tuttavia, Sanchez ha affermato su Twitter che Snapchat aveva bloccato due account che stava usando per i test, nonché l'indirizzo IP della VPN che utilizza.
"Questa è la loro contromisura", ha detto Sanchez.
La messaggistica sicura è uno spazio sempre più affollato e se Snapchat vuole mantenere la sua popolarità, deve immediatamente invertire la sua scarsa reputazione di sicurezza. E il primo passo per farlo è prendere sul serio la comunità dei ricercatori.