Vidéo: Que faire si quelqu’un t’Attrape par derrière (Novembre 2024)
Une application de messagerie photo populaire, Snapchat, peut être utilisée pour lancer une attaque par déni de service contre l'iPhone d'un utilisateur, a déclaré un chercheur en sécurité.
Pocket DDOS
Jaime Sanchez, consultant en sécurité pour la société de télécommunications espagnole Telefonica, a écrit dans un article sur seguridadofensiva.com que des milliers de messages peuvent submerger le compte d'un utilisateur de Snapchat en quelques secondes. Les utilisateurs peuvent avoir besoin d'effectuer une réinitialisation matérielle de leur iPhone pour récupérer.
Sanchez a démontré cette faiblesse en envoyant 1 000 messages en cinq secondes au compte Snapchat du journaliste du Los Angeles Times Salvador Rodriguez, provoquant l'arrêt et le redémarrage de son appareil, a rapporté le Times. L'attaque ne plantera pas les appareils Android, mais ils deviendront lents et l'application sera impossible à utiliser, a déclaré Sanchez.
L'application soucieuse de la vie privée de Snapchat permet aux utilisateurs d'envoyer des messages photo et vidéo qui disparaissent peu après que le destinataire les ait visionnés. Lorsqu'un utilisateur envoie un message, l'application génère un nouveau jeton pour vérifier l'utilisateur. Malheureusement, il semble que les anciens jetons puissent également être réutilisés pour envoyer des messages supplémentaires, a constaté Sanchez.
Mauvaise réputation de sécurité
Snapchat se positionne comme l'application de messagerie respectueuse de la vie privée, mais a récemment eu des problèmes de sécurité. Cette dernière découverte ne fait qu'exacerber la mauvaise réputation de l'entreprise parmi les chercheurs en cybersécurité.
La société a rejeté les informations du groupe de recherche Gibson Security, l'été dernier, sur une faille dans l'application qui pourrait être utilisée pour exposer les données des utilisateurs. La veille du Nouvel An, un autre groupe a exploité avec succès la vulnérabilité et publié les noms d'utilisateurs et numéros de téléphone de près de cinq millions d'utilisateurs. Snapchat a sorti un correctif pour fermer le trou quelques jours plus tard.
Sanchez n'a pas pris la peine de contacter Snapchat et est allé directement au Los Angeles Times, car la startup ne se préoccupe pas de la sécurité - ou du moins, des chercheurs en sécurité, a-t-il déclaré. C'est une réputation troublante pour une entreprise qui tente d'attirer des utilisateurs préoccupés par leur vie privée en ligne.
Étant donné que le service a un problème de spam, le fait que les spammeurs puissent simplement utiliser le même jeton pour envoyer des milliers de messages signifie que les utilisateurs risquent d'avoir encore plus de spam dans les jours à venir. Les attaquants peuvent également lancer des attaques ciblées contre des utilisateurs spécifiques, rendant temporairement leurs appareils mobiles inutilisables.
Une solution est à venir?
La société a déclaré au Times qu’elle était curieuse de la faiblesse découverte par Sanchez et qu’elle enquêterait. Cependant, Sanchez a affirmé sur Twitter que Snapchat avait bloqué deux comptes qu’il utilisait à des fins de test, ainsi que l’adresse IP du VPN qu’il utilise.
"C'est leur contre-mesure", a déclaré Sanchez.
La messagerie sécurisée est un espace de plus en plus encombré et si Snapchat veut conserver sa popularité, il doit immédiatement inverser sa mauvaise réputation en matière de sécurité. Et le premier pas dans cette direction consiste à prendre au sérieux la communauté des chercheurs.
