Меню
Пошук

Уязвимость в Snapchat позволяет вывести из строя любой iPhone

11 февраль, 2014 - 09:45
Уязвимость в Snapchat позволяет вывести из строя любой iPhone

Эксперт в области компьютерной безопасности Джеми Санчес (Jaime Sanchez) обнаружил опасную уязвимость в популярном в США и Европе сервисе мгновенных сообщений Snapchat. С ее помощью хакеры могут проводить атаки на смартфоны Apple, в результате которых аппараты перестают реагировать на действия пользователей.

Уязвимость состоит в возможности использования при отправке новых сообщений старых токенов (ключей), предназначенных для идентификации отправителя. Токены генерируются самим приложением при каждом действии (добавление друзей, отправка сообщений) в приложении. Но поскольку старые токены остаются активными, их можно использовать на разных устройствах для отправки команд через Snapchat API.

Используя эту особенность можно за несколько секунд отправить тысячи сообщений на один номер. Эффект от такого действия сравним с DoS-атакой – смартфон перестает реагировать на действия пользователя. В большинстве случаев для возобновления работы iPhone потребуется принудительное выключение и повторное включение аппарата. Более того, можно написать скрипт, который менее чем за час разошлет спам миллионам пользователей. Атакованы могут быть и некоторые устройства на ОС Android, правда они не зависают намертво, а просто начинают работать очень медленно.

Как заявил Джеми Санчес, он не стал сообщать о найденной уязвимости в компанию Snapchat, поскольку там на подобные заявления не обращают внимания. Так, летом 2013 г. австралийская компания Gibson Security уведомила Snapchat об уязвимости, которая позволяет получить доступ к недокументированным функциям и взломать сервис. Так и не дождавшись реакции Snapchat, спустя четыре месяца все данные о найденной уязвимости были опубликованы Gibson Security в открытом доступе.

Поэтому Джеми Санчес опубликовал статью в Los Angeles Times, и спустя всего пару дней обе учетных записи на сервисе Snapchat, использованные для тестирования уязвимости, были заблокированы. Причем саму уязвимость Snapchat так и не устранила, хотя, по мнению эксперта, для этого потребовался бы небольшой патч на серверной стороне.