DoS-атака на анонимный мобильный мессенджер Snapchat

11/02/2014 10:52

В сервисе Snapchat обнаружена новая уязвимость - она нарушает работу мобильных устройств, которые прекращают реагировать на действия пользователей. Специалист, нашедший уязвимость, не стал сообщать о ней администрации сервиса, сославшись на ее безразличие к подобного рода находкам. Найденная уязвимость в популярном приложении Snapchat позволяет проводить атаки DoS (Denial of Service - «отказ в обслуживании») против владельцев «яблочных» гаджетов и мобильных устройств на платформе Android, сообщает Los Angeles Times со ссылкой на консультанта по информационной безопасности в компании Telefonica Джейми Санчеса (Jaime Sanchez). По словам специалиста, найденная им вместе с его коллегой уязвимость в сервисе обмена мгновенными сообщениями Snapchat позволяет отправлять тысячи сообщений одному пользователю всего лишь за несколько секунд. Отправка такого большого числа сообщений в столь малый промежуток времени сопоставим с эффектом от DoS-атаки, рассказал Санчес: устройство перестает реагировать на действия пользователя, после чего в некоторых случаях требуется «жесткая» перезагрузка (принудительное выключение и повторное включение аппарата). Санчес рассказал, что уязвимость заключается в возможности использования старых токенов (ключей), предназначенных для идентификации отправителя, при отправке новых сообщений. Специалист сообщил, что атакованы могут быть как устройства на базе iOS, так и на базе Android. Редакция Los Angeles Times провела эксперимент и выяснила, что при атаке iPhone смартфон зависает, после чего необходима его перезагрузка; тогда как Android-смартфон начинает очень медленно работать и находится в таком состоянии, пока атака не прекратится. Модель смартфона в редакции не уточнили. «Мы не стали сообщать об этой уязвимости администрации Snapchat, потому что она все равно бы не обратила на нас внимание», - заявил Санчес. В качестве примера он сослался на ситуацию с австралийской компанией Gibson Security. В августе она уведомила Snapchat об уязвимости, которая позволяет получить доступ к недокументированным функциям сервиса и взломать его. Спустя 4 месяца, так и не дождавшись реакции от Snapchat, эксперты опубликовали в открытом доступе всю необходимую информацию для эксплуатации этой уязвимости. Спустя некоторое время после публикации статьи на страницах Los Angeles Times Санчес сообщил, что администрация Snapchat заблокировала два его аккаунта в сервисе, которые он использовал для тестирования уязвимости.
Источник