ビデオ: Æ - Caractère spécial #7 (十一月 2024)
セキュリティ研究者によると、人気のある画像メッセージングアプリSnapchatを使用して、ユーザーのiPhoneに対してサービス拒否攻撃を仕掛けることができます。
ポケットDDOS
スペインの通信会社TelefonicaのセキュリティコンサルタントであるJaime Sanchezは、攻撃者が数秒で数千のメッセージでSnapchatユーザーのアカウントをフラッディングさせ、デバイス全体がクラッシュする可能性があるとseguridadofensiva.comの投稿に書いています。 ユーザーは、回復するためにiPhoneでハードリセットを実行する必要がある場合があります。
サンチェスは、ロサンゼルスタイムズの記者であるサルバドールロドリゲスのSnapchatアカウントに5秒以内に1, 000件のメッセージを送信し、デバイスをシャットダウンして再起動させることにより、この脆弱性を実証しました。 Sanchez氏によると、攻撃によってAndroidデバイスがクラッシュすることはありませんが、Androidデバイスは遅くなり、アプリを使用できなくなります。
Snapchatのプライバシー重視のアプリを使用すると、ユーザーは写真やビデオメッセージを送信できます。これらのメッセージは、受信者が表示するとすぐに消えます。 ユーザーがメッセージを送信すると、アプリはユーザーを確認するための新しいトークンを生成します。 残念ながら、古いトークンを再利用して追加のメッセージを送信することもできるようです、とSanchezは発見しました。
セキュリティ評価が低い
Snapchatは、プライバシーに優しいメッセージングアプリとしての地位を確立していますが、最近ではセキュリティの問題に苦労しています。 この最新の調査結果は、サイバーセキュリティ研究者の間での同社の評判の悪さをさらに悪化させています。
同社は、去年の夏、研究グループGibson Securityから、ユーザーデータを公開するために使用される可能性のあるアプリ内の欠陥に関する報告を却下しました。 大Year日、別のグループがこの脆弱性の悪用に成功し、ほぼ500万人のユーザーのユーザー名と電話番号を公開しました。 Snapchatは、数日後に穴を塞ぐ修正を展開しました。
SanchezはSnapchatに連絡することをせず、ロサンゼルスタイムズに直行しました。なぜなら、スタートアップはセキュリティ、または少なくともセキュリティ研究者を気にしていないからです。 これは、オンラインプライバシーを懸念するユーザーを引き付けようとしている企業にとって、厄介な評判です。
サービスにスパムの問題があることを考えると、スパマーが同じトークンを使用して数千のメッセージを送信できるという事実は、ユーザーが今後さらに多くのスパムに対処する可能性があることを意味します。 また、攻撃者は特定のユーザーに対して標的型攻撃を仕掛け、モバイルデバイスを一時的に使用不能にすることができます。
修正が来ていますか?
同社はタイムズ紙に、サンチェスが発見した弱点について興味があり、調査する予定だと語った。 しかし、サンチェスはツイッターで、Snapchatがテストに使用している2つのアカウントと、使用しているVPNのIPアドレスをブロックしたと主張しました。
「それが彼らの対策だ」とサンチェスは言った。
セキュアメッセージングはますます混雑しているスペースであり、Snapchatがその人気を維持したい場合は、貧弱なセキュリティの評判をすぐに覆す必要があります。 そして、そのための最初のステップは、研究者コミュニティを真剣に考えることです。