По словам специалиста, найденная им вместе с его коллегой уязвимость в сервисе обмена мгновенными сообщениями Snapchat позволяет отправлять тысячи сообщений одному пользователю всего лишь за несколько секунд.
Отправка такого большого числа сообщений в столь малый промежуток времени сопоставим с эффектом от DoS-атаки, рассказал Санчес: устройство перестает реагировать на действия пользователя, после чего в некоторых случаях требуется «жесткая» перезагрузка (принудительное выключение и повторное включение аппарата).
Санчес рассказал, что уязвимость заключается в возможности использования старых токенов (ключей), предназначенных для идентификации отправителя, при отправке новых сообщений.
Специалист сообщил, что атакованы могут быть как устройства на базе iOS, так и на базе Android. Редакция Los Angeles Times провела эксперимент и выяснила, что при атаке iPhone смартфон зависает, после чего необходима его перезагрузка; тогда как Android-смартфон начинает очень медленно работать и находится в таком состоянии, пока атака не прекратится. Модель смартфона в редакции не уточнили.
«Мы не стали сообщать об этой уязвимости администрации Snapchat, потому что она все равно бы не обратила на нас внимание», - заявил Санчес. В качестве примера он сослался на ситуацию с австралийской компанией Gibson Security. В августе она уведомила Snapchat об уязвимости, которая позволяет получить доступ к недокументированным функциям сервиса и взломать его. Спустя 4 месяца, так и не дождавшись реакции от Snapchat, эксперты в открытом доступе всю необходимую информацию для эксплуатации этой уязвимости.
Уязвимость в Snapchat позволяет атаковать iPhone и Android
Спустя некоторое время после публикации статьи на страницах Los Angeles Times Санчес сообщил, что администрация Snapchat заблокировала два его аккаунта в сервисе, которые он использовал для тестирования уязвимости. «Вот такие у них контрмеры», - написал он в своем твиттере.
Мессенджер Snapchat был запущен в 2011 г. Одна из его особенностей заключается в возможности отправки сообщений анонимно. При этом сообщения автоматически удаляются спустя 10 секунд или раньше, в зависимости от желания отправителя. Создатели утверждают, что таким образом общение максимально приближено к реальной жизни, в которой собеседники делятся впечатлениями в режиме реального времени и не могут сохранить их у себя каким-либо образом.