Falha de segurança do Snapchat pode travar iPhones, diz pesquisador

snapchatUma vulnerabilidade de segurança no Snapchat permite que criminosos lancem ataques de negação de serviço no aplicativos de mensagens, fazendo com que os smartphones parem de responder e até travem.

De acordo com o pesquisador de segurança Jaime Sanchez, que descobriu o problema, os tokens de autorização acompanhando os pedidos de usuários autenticados do Snapchat não expiram.

Esses tokens são gerados pelo app para cada ação – como adicionar amigos ou enviar snaps – para evitar enviar a senha a todo momento. No entanto, uma vez que os tokens anteriores não expiram, eles podem ser usados a partir de aparelhos diferentes para enviar comandos por meio da API (interface de programação de aplicativo) do Snapchat.

“Eu consigo usar um scrip customizado que criei para enviar snaps para uma lista de usuários a partir de diversos computadores ao mesmo tempo”, afirmou Sanchez. “Isso poderia permitir que um criminoso enviasse spam para a lista de 4,6 milhões de usuários do app em menos de uma hora.”

Não é o primeiro problema de segurança do Snapchat

Os hackers já exploraram uma vulnerabilidade diferente do Snapchat no início de janeiro para extrair mais de 4,6 milhões de números de telefone e nomes de usuários do serviço. Esses dados até foram publicados na Internet na época.

No entanto, além do envio de spam para um grande número de usuários, a nova falha descoberta por Sanchez também pode ser usada para atacar um único usuário ao enviar para ele centenas ou milhares de snaps usando tokens antigos que não expiraram.

Quando esse ataque é realizado contra um usuário que usa o Snapchat em um iPhone, o aparelho congela e o sistema eventualmente será iniciado automaticamente, aponta Sanchez.

O pesquisador demonstrou o ataque no iPhone de um repórter do jornal The Los Angeles Times, que aprovou a ação obviamente, ao enviar mil mensagens para a conta do jornalista em cinco segundos. Um vídeo demonstrando o ataque pode ser visto abaixo.

Fonte:  IDG Now!

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s