Video: Как зарегистрироваться в snapchat (September 2024)
Den populära bildmeddelanden-appen Snapchat kan användas för att starta en attack för att avslå tjänsten mot en användares iPhone, säger en säkerhetsforskare.
Pocket DDOS
Attacker kan översvämma ett Snapchat-användares konto med tusentals meddelanden på några sekunder, vilket får appen att frysa och hela enheten kraschar, skrev Jaime Sanchez, en säkerhetskonsult för det spanska telekommunikationsföretaget Telefonica, på ett inlägg på seguridadofensiva.com. Användare kan behöva utföra en hård återställning på sina iPhones för att återställa.
Sanchez demonstrerade svagheten genom att skicka 1 000 meddelanden inom fem sekunder till Los Angeles Times-reportern Salvador Rodriguezs Snapchat-konto, vilket fick hans enhet att stänga av och starta om, rapporterade Times. Attacken kraschar inte Android-enheter, även om de kommer att bli långsamma och appen kommer att vara omöjlig att använda, sade Sanchez.
Snapchats sekretessmedvetna app låter användare skicka foto- och videomeddelanden som försvinner strax efter att mottagaren har sett dem. När en användare skickar ett meddelande genererar appen ett nytt token för att verifiera användaren. Tyvärr verkar det som att gamla tokens också kan återanvändas för att skicka ytterligare meddelanden, fann Sanchez.
Dålig säkerhetsreputation
Snapchat positionerar sig som den sekretessvänliga meddelanden-appen, men har kämpat med säkerhetsproblem nyligen. Den senaste upptäckten förvärrar bara företagets dåliga rykte bland cybersäkerhetsforskare.
Företaget avfärdade rapporter från forskningsgruppen Gibson Security förra sommaren om en brist i appen som kan användas för att avslöja användardata. På nyårsafton utnyttjade en annan grupp framgångsrikt sårbarheten och publicerade användarnamn och telefonnummer på nästan fem miljoner användare. Snapchat rullade ut en fix för att stänga hålet dagar senare.
Sanchez brydde sig inte om att kontakta Snapchat och gick direkt till Los Angeles Times eftersom uppstarten inte bryr sig om säkerhet - eller åtminstone om säkerhetsforskare, sade han. Det är ett besvärande rykte för ett företag som försöker locka användare som är bekymrade över deras integritet online.
Med tanke på att tjänsten har ett skräpproblem kan det faktum att spammare bara kan använda samma token för att skicka tusentals meddelanden göra att användare kan hantera ännu mer skräppost de närmaste dagarna. Angripare kan också starta riktade attacker mot specifika användare, vilket tillfälligt gör sina mobila enheter oanvändbara.
En fix kommer?
Företaget berättade för Times att det var nyfiken på svagheten som Sanchez upptäckte och skulle undersöka. Sanchez hävdade dock på Twitter att Snapchat hade blockerat två konton som han använde för att testa, såväl som IP-adressen till VPN som han använder.
"Det är deras motåtgärd, " sade Sanchez.
Säker meddelanden är ett allt mer trångt utrymme, och om Snapchat vill behålla sin popularitet måste den omvända sitt dåliga säkerhetsanspråk omedelbart. Och det första steget mot att göra det är att ta forskarsamhället på allvar.
