ビデオ: History of iMessage (十一月 2024)
一部のiOSアプリ開発者は、
The Next Webによると、開発者のiH8sn0w、Grant Paulなどは、アプリをクラッシュさせる可能性のある無数のメッセージをiOSデバイスで受信し、場合によってはメッセージングシステムから完全にロックアウトします。 Appleのメッセージアプリは、Appleのデスクトップメッセージングアプリから送信されるiMessageと携帯電話から送信されるテキストメッセージの両方を管理するために使用されるため、特に面倒です。
「iMessageスパマーは、Unicode文字の長い文字列を送信することで、iOSメッセージアプリから完全にロックアウトされました」と金曜日にGrant Paulがツイートしました。 「間違いなくDoS。」
攻撃の背後にある動機は不明ですが、iH8sn0wはTwitterアカウントで、別のiOS開発者が攻撃の背後にいる可能性があることを示唆しました。 スパムメッセージには匿名グループへの参照が含まれていましたが、グループは一般に大きな社会問題に焦点を当てているため、接続は考えにくいようです。
Twitterで、iH8sn0wは、攻撃は「AppleScriptで遊んで退屈している子供たちのほんの一団」だと言った。
使い方
この攻撃は、iMessageのいくつかのユニークな側面を利用します。 まず、アプリに送信できるメッセージの数、またはそれらのメッセージがiMessageから送信される速度に制限がないことは明らかです。 これはインスタントメッセージを介した高速チャットには適しているかもしれませんが、攻撃者は驚くべき速度でメッセージを送信できます。
第二に、iMessageで個々のユーザーをブロックする方法はありません。 誰かがあなたのAppleユーザー名を取得すると、彼らはあなたにメッセージを送信し続けることができ、被害者ができることはほとんどありません。
攻撃では、被害者のアカウントは膨大な数のメッセージまたは非常に大きなメッセージを受信します。 どちらの場合でも、膨大な量の情報により、iOSアプリにアクセスして送信されたジャンクをクリアすることさえ困難になります。 場合によっては、メッセージアプリがクラッシュするほどメッセージを大きく複雑にするために、異常なUnicode文字または絵文字を含めることができます。
iH8sn0wによると、この攻撃はAppleの基本的なコーディング言語であるAppleScriptを使用して実行されるほど単純であるように見えました。 iH8sn0wはまた、ツイートでメッセージの洪水を止めるために最終的にアカウントを無効にしたと述べました。
より大きな影響?
良いニュースは、攻撃者がテキストメッセージ攻撃を行う前にiMessageアカウント名を必要とすることです。 また、攻撃は個人ごとにしか実行できないようです
ただし、この問題を防ぐためにAppleが実装できる基本的な変更があります。 不快なユーザーをブロックする手段は、他のチャットサービスやアプリの間で共通の機能であり、それを除外するというAppleの決定は盲目的に楽観的です。
現在、被害者が利用できる唯一の手段は、iMessagesアラートを「私の連絡先のみ」から制限し、問題のある個人を連絡先から削除することです。
別の変更により、メッセージに何らかの制限が設けられます。 CloudmarkのAndrew ConwayとSMSスパムについて話し合ったとき、彼は、無制限のテキストメッセージプランを廃止することで、携帯電話に届くスパムの量を大幅に減らすことを提案しました。 数百のメッセージごとにほんの数秒の休憩さえあれば、被害者は対応するための重要なウィンドウを開くことになります。
個人的に、この攻撃は、AIMの昔のことを思い出させます。AIMは、攻撃者側のわずかなノウハウを使用して、ユーザーがオフラインでノックされたり、サービスから禁止されることさえありました。 Appleの比較的新しい機能には、20年近く前に他の企業が解決した問題が含まれているはずであり、この問題全体をかなり要約している。