Video: 🗑 ИСПОВЕДЬ DDOS'ЕРА: КАК УБИВАЮТ САЙТЫ. ТИПЫ ДДОС-АТАК, ЦЕНЫ, МЕТОДЫ ЗАЩИТЫ ОТ DDOS | Люди PRO #43 (November 2024)
Populárna aplikácia na odosielanie správ MMS Snapchat môže byť použitá na spustenie útoku odmietnutia služby proti iPhone používateľa, uviedol výskumný pracovník v oblasti bezpečnosti.
Pocket DDOS
Útočníci môžu v priebehu niekoľkých sekúnd zaplaviť účet používateľa Snapchat tisíckami správ, čo spôsobí, že aplikácia zamrzne a dôjde k zlyhaniu celého zariadenia. Jaime Sanchez, bezpečnostný konzultant pre španielsku telekomunikačnú spoločnosť Telefonica, napísal príspevok na seguridadofensiva.com. Používatelia budú pravdepodobne potrebovať vykonať tvrdý reset na telefónoch iPhone, aby sa obnovili.
Sanchez preukázal túto slabinu zaslaním 1 000 správ do piatich sekúnd na účet Snapchat reportéra Salvadora Rodrigueza, ktorý spôsobil vypnutie a reštart jeho zariadenia, informoval denník Times. Útok nezničí zariadenia s Androidom, hoci sa spomalí a aplikáciu nebude možné používať, uviedol Sanchez.
Aplikácia Snapchat zameraná na ochranu súkromia umožňuje používateľom odosielať fotografie a videozáznamy, ktoré zmiznú krátko po tom, ako ich príjemca pozrel. Keď používateľ odošle správu, aplikácia vygeneruje nový token na overenie používateľa. Bohužiaľ sa zdá, že staré tokeny môžu byť tiež opätovne použité na odoslanie ďalších správ, zistil Sanchez.
Zlá bezpečnostná reputácia
Snapchat sa umiestňuje ako aplikácia na zasielanie správ priateľská k súkromiu, ale nedávno sa stretol s problémami zabezpečenia. Toto najnovšie zistenie len zhoršuje zlú povesť spoločnosti medzi výskumníkmi v oblasti kybernetickej bezpečnosti.
Spoločnosť zamietla správy z výskumnej skupiny Gibson Security minulé leto o chybe v aplikácii, ktorá sa mohla použiť na odhalenie užívateľských údajov. Na Silvestra iná skupina úspešne zneužila zraniteľnosť a zverejnila používateľské mená a telefónne čísla takmer piatich miliónov používateľov. Snapchat vyniesol opravu, aby zatvoril dieru neskôr.
Sanchez sa neobťažoval kontaktovať Snapchata a šiel rovno do Los Angeles Times, pretože startupu sa nezaujíma o bezpečnosť - alebo aspoň o bezpečnostných výskumníkov, povedal. To je znepokojujúca povesť spoločnosti, ktorá sa snaží prilákať používateľov, ktorí sa obávajú o svoje súkromie online.
Vzhľadom na to, že služba má problém s nevyžiadanou poštou, skutočnosť, že spameri môžu použiť rovnaký token na odosielanie tisícok správ, znamená, že používatelia sa môžu v nasledujúcich dňoch vyrovnať s ešte väčším množstvom spamu. Útočníci môžu tiež začať cielené útoky proti konkrétnym používateľom, čím dočasne zneprístupňujú svoje mobilné zariadenia.
Oprava prichádza?
Spoločnosť oznámila Timesu, že je zvedavá na slabosť, ktorú Sanchez objavil a bude vyšetrovať. Sanchez však na Twitteri tvrdil, že Snapchat zablokoval dva účty, ktoré používal na testovanie, ako aj IP adresu VPN, ktorú používa.
„To je ich protiopatrenie, “ povedal Sanchez.
Zabezpečené správy sú stále preplneným priestorom a ak si chce Snapchat udržať svoju popularitu, musí okamžite zvrátiť svoju zlú povesť v oblasti bezpečnosti. Prvým krokom k tomu je brať komunitu výskumných pracovníkov vážne.