В мессенджере Snapchat для платформы iOS обнаружена уязвимость

14 февраля 2014

Популярный мессенджер Snapchat в версии для iOS в очередной раз может оказаться в центре скандала. По информации независимого разработчика Джейми Санчеса, в Snapchat есть еще одна критическая уязвимость.

Используя найденную разработчиком лазейку в системе безопасности, киберпреступники могут произвести выборочную DDoS-атаку на любой смартфон iPhone с последующим отключением устройства. Также найденная уязвимость потенциально может использоваться для массовой рассылки спама.

Уязвимость состоит в том, что у так называемых жетонов авторизации, используемых в мессенджере для проверки подлинности аккаунта, нет ограничения по сроку действия. Как сообщил Джейми Санчес, Snapchat генерирует новый маркер при каждом отправлении сообщения, добавлении контакта и т.д. Но поскольку «токен» не имеет срока действия, его можно повторно использовать на нескольких устройствах, что открывает потенциал для массовой рассылки спама и целенаправленной атаки на iPhone.

Санчес рассказал об обнаруженной дыре репортеру Los-Angeles Times: используя свой аккаунт в Snapchat он отправил на смартфон журналиста больше тысячи сообщений всего за 5 секунд! Смартфон попросту не выдержал такой нагрузки и экстренно перезагрузился. Разработчик поясняет, что Snapchat выявил факт рассылки спама и DDoS-атак, заблокировал используемые для этого тестовые аккаунты Санчеса, но не устранил саму уязвимость.

Санчес решил рассказать о найденной дыре в системе безопасности мессенджера Snapchat всему миру, так как его разработчики не уважают труд исследователей в области безопасности. Под последним Джейми Санчес подразумевает опубликованный ранее отчет австралийских специалистов, которые раскрыли потенциал приложения для свободного изъятия из его API практически любой информации о пользователях, начиная с реальных имен и никнеймов, заканчивая мобильными телефонами. Правда, разработчики и з Gibson Security поступили согласно деловому этикету и рассказали об обнаруженной проблеме сначала администрации Snapchat.

Скопируйте этот код и вставьте его в свой сайт или блог (HTML)
Скопируйте этот код и вставьте его на форум (BBcode)
Кликните, если это возможно
Комментариев нет.