. Snapchat vulnerabilidade pode ser explorada para bater iPhones, diz pesquisador - Tudo Sobre Tecnologia


Uma vulnerabilidade no Snapchat permite que atacantes para lançar ataques de negação de serviço contra os usuários do aplicativo de mensagens foto popular, fazendo com que seus telefones para se tornar insensível e até mesmo falhar.
De acordo com Jaime Sanchez, o pesquisador de segurança que descobriu o problema, tokens de autorização que acompanham os pedidos Snapchat de usuários autenticados não expiram.
Esses tokens são gerados pelo aplicativo para cada ação-como adicionar amigos ou enviar encaixe-a fim de evitar o envio a senha de cada vez. No entanto, desde fichas passadas não expiram, eles podem ser reutilizados a partir de diferentes dispositivos para enviar comandos através da API Snapchat (application programming interface).
"Eu sou capaz de usar um script personalizado que eu criei para enviar snaps para uma lista de usuários de vários computadores ao mesmo tempo", disse Sanchez. "Isso pode permitir que um atacante enviar spam para a conta de 4,6 milhões de lista vazou em menos de uma hora."

Não é o primeiro ai segurança Snapchat

Hackers explorou uma vulnerabilidade diferente em Snpachat no início de janeiro para extrair mais de 4,6 milhões de pares de número de telefone e nome de usuário do serviço . Eles, então, postou a lista online.
No entanto, além de spam um grande número de usuários, a nova edição descoberto por Sanchez também pode ser usado para atacar um único usuário, enviando-lhe centenas ou milhares de snaps usando tokens não expirados.
Quando este ataque é realizado contra um usuário que usa Snapchat em um iPhone seu dispositivo irá congelar eo sistema operacional irá eventualmente reiniciar-se, disse Sanchez.
O pesquisador demonstrou o ataque contra o iPhone de um repórter do Los Angeles Times com a sua aprovação, enviando 1.000 mensagens para Snapchat conta do repórter dentro de cinco segundos. Um vídeo de demonstração também foi postado no YouTube.
"O lançamento de um ataque de negação de serviço-em dispositivos Android não faz com que esses smartphones para bater, mas faz diminuir a velocidade", disse Sanchez."Isso também faz com que seja impossível usar o aplicativo até que o ataque tenha terminado."
Não é um fator limitante para o ataque: a configuração de privacidade padrão em Snapchat que só permite que contas de amigos de um usuário listar para mandá-lo se encaixa, o que significa que o atacante teria primeiro de convencer o usuário alvo para adicionar a ele como um amigo. De acordo com a documentação do Snapchat , o envio de uma pressão para um usuário sem estar em sua lista de amigos irá resultar em que o usuário recebe uma notificação para que eles possam adicionar de volta ao remetente.
Os usuários que mudaram configuração de privacidade padrão do seu cliente para que eles possam receber pressões de ninguém estaria diretamente exposta ao ataque descrito por Sanchez.
Snapchat não respondeu imediatamente a um pedido de comentário.

Não dica para você, Snapchat

Sanchez disse por e-mail que ele não relatar o problema para Snapchat antes de divulgar publicamente porque ele sente que a empresa tem uma má atitude para com os pesquisadores de segurança com base em como sua manipulação vulnerabilidades anteriores relatados a ele. Em dezembro a empresa de pesquisa de segurança chamado Gibson Segurança publicado um exploit que permitia que os atacantes para coincidir com os números de telefone para Snapchat contas depois de afirmar que a empresa não corrigiu a vulnerabilidade subjacente, durante quatro meses.
De acordo com Sanchez, o problema revelado por ele ainda não havia sido fixada sábado, mas duas contas e um endereço IP VPN que ele usou para o teste tinha sido proibido. Em vez de proibir as contas de um pesquisador que não tem interesse em atacar os usuários reais e nem mesmo usar o serviço, a empresa deve trabalhar para melhorar a segurança de sua aplicação, disse Sanchez.
O pesquisador acredita impedindo esta questão exigiria um reparo fácil no lado do servidor. Ele não sabe por que as falhas do sistema operacional em iPhones, mas ele suspeita que tenha algo a ver com o sistema de notificação de envio que os dispositivos iOS usa para receber notificações de aplicativos de terceiros. A investigação sobre esse aspecto continua, disse ele.

0 comentários Goocle+ 0 Facebook

Postar um comentário

 
Tudo Sobre Tecnologia © 2013-2020. Todos os direitos reservados. Tudo Sobre Tecnologia. Desenvolvido por TST
Topo