אפליקציית העברת תמונות פופולרית Snapchat יכולה לשמש להפעלת מתקפת מניעה מהשירות נגד אייפון של המשתמש, כך אמר חוקר אבטחה.
כיס DDOS
תוקפים יכולים להציף את חשבון המשתמש של סנאפצ'ט באלפי הודעות תוך שניות, מה שגורם לאפליקציה להקפיא ולכל המכשיר להתרסק, כתב ג'יימה סאנצ'ז, יועץ אבטחה בחברת התקשורת הספרדית טלפוניקה, על פוסט באתר seguridadofensiva.com. משתמשים עשויים להידרש לבצע איפוס קשה באייפונים שלהם כדי להתאושש.
סאנצ'ס הפגין את החולשה בכך ששלח 1, 000 הודעות תוך חמש שניות לחשבון Snapchat של כתב לוס אנג'לס טיימס, שגרם לכיבוי מכשירו ולהפעלה מחדש, כך דווח הטיימס. ההתקפה לא תתרסק מכשירי אנדרואיד, למרות שהם יהפכו לאיטיים והאפליקציה בלתי אפשרית לשימוש, אמר סאנצ'ס.
האפליקציה המודעת לפרטיות של Snapchat מאפשרת למשתמשים לשלוח הודעות תמונה ווידיאו שנעלמות זמן קצר לאחר שהנמען צפה בהן. כאשר משתמש שולח הודעה, האפליקציה מייצרת אסימון חדש לאימות המשתמש. למרבה הצער נראה כי ניתן להשתמש שוב באסימונים ישנים לשליחת הודעות נוספות, מצא סאנצ'ס.
מוניטין אבטחה לקוי
Snapchat ממצבת את עצמה כאפליקציית ההודעות ידידותית לפרטיות, אך נאבקה לאחרונה עם בעיות אבטחה. הממצא האחרון רק מחמיר את המוניטין הגרוע של החברה בקרב חוקרי אבטחת סייבר.
החברה ביטלה בקיץ שעבר דיווחים מקבוצת המחקר Gibson Security על פגם באפליקציה שיכול לשמש לחשיפת נתוני משתמשים. בערב ראש השנה, קבוצה אחרת ניצלה בהצלחה את הפגיעות ופרסמה שמות משתמש ומספרי טלפון של כמעט חמישה מיליון משתמשים. סנאפצ'אט גלגל מתקן לסגירת החור ימים לאחר מכן.
סאנצ'ס לא טרח ליצור קשר עם סנאפצ'ט ופנה היישר ללוס אנג'לס טיימס מכיוון שלסטארט-אפ לא אכפת מביטחון - או לפחות מחוקרי אבטחה, הוא אמר. זהו מוניטין מטריד של חברה שמנסה למשוך משתמשים מודאגים מהפרטיות המקוונת שלהם.
בהתחשב בשירות יש בעיית דואר זבל, העובדה שדווקא שולחנים יכולים פשוט להשתמש באותו אסימון כדי לשלוח אלפי הודעות פירושו של דבר שמשתמשים יתמודדו עם דואר זבל עוד יותר בימים הבאים. התוקפים יכולים גם לפתוח בהתקפות ממוקדות כנגד משתמשים ספציפיים, מה שהופך את המכשירים הניידים שלהם לשימוש בלתי-זמני באופן זמני.
תיקון בא?
החברה אמרה לטיימס כי היא סקרנית לגבי החולשה שגילה סאנצ'ס ותחקור. עם זאת, סאנצ'ס טען בטוויטר כי סנאפצ'ט חסם שני חשבונות בהם הוא משתמש לבדיקה, כמו גם את כתובת ה- IP של ה- VPN בו הוא משתמש.
"זו אמצעי הנגד שלהם", אמר סאנצ'ס.
העברת הודעות מאובטחת היא חלל צפוף יותר ויותר, ואם סנאפצ'אט רוצה לשמור על הפופולריות שלו, היא צריכה להפוך את המוניטין הביטחוני הירוד באופן מיידי. והצעד הראשון בדרך לעשות זאת הוא לקחת את קהילת החוקרים ברצינות.