Video: ¿Problemas con el SnapCamera? - Soluciones prácticas (Noviembre 2024)
La popular aplicación de mensajería de imágenes Snapchat se puede usar para lanzar un ataque de denegación de servicio contra el iPhone de un usuario, dijo un investigador de seguridad.
DDOS de bolsillo
Los atacantes pueden inundar la cuenta de un usuario de Snapchat con miles de mensajes en cuestión de segundos, haciendo que la aplicación se congele y se bloquee todo el dispositivo, escribió Jaime Sánchez, consultor de seguridad de la empresa española de telecomunicaciones Telefónica, en una publicación en seguridadofensiva.com. Los usuarios pueden necesitar realizar un restablecimiento completo en sus iPhones para recuperarse.
Sánchez demostró la debilidad al enviar 1, 000 mensajes en cinco segundos a la cuenta de Snapchat del reportero de Los Angeles Salvador Rodríguez, haciendo que su dispositivo se apague y reinicie, informó el Times. El ataque no bloqueará los dispositivos Android, aunque se volverán lentos y la aplicación será imposible de usar, dijo Sánchez.
La aplicación de privacidad de Snapchat permite a los usuarios enviar mensajes de foto y video que desaparecen poco después de que el destinatario los haya visto. Cuando un usuario envía un mensaje, la aplicación genera un nuevo token para verificar al usuario. Desafortunadamente, parece que los tokens antiguos también se pueden reutilizar para enviar mensajes adicionales, descubrió Sánchez.
Mala reputación de seguridad
Snapchat se posiciona como la aplicación de mensajería amigable con la privacidad, pero recientemente ha tenido problemas de seguridad. Este último hallazgo solo exacerba la mala reputación de la compañía entre los investigadores de seguridad cibernética.
La compañía desestimó los informes del grupo de investigación Gibson Security el verano pasado sobre una falla en la aplicación que podría usarse para exponer datos de los usuarios. En la víspera de Año Nuevo, otro grupo explotó con éxito la vulnerabilidad y publicó nombres de usuario y números de teléfono de casi cinco millones de usuarios. Snapchat lanzó una solución para cerrar el agujero días después.
Sánchez no se molestó en contactar a Snapchat y fue directamente al Los Angeles Times porque a la startup no le importa la seguridad, o al menos, los investigadores de seguridad, dijo. Esa es una reputación preocupante para una empresa que intenta atraer a los usuarios preocupados por su privacidad en línea.
Teniendo en cuenta que el servicio tiene un problema de spam, el hecho de que los spammers puedan usar el mismo token para enviar miles de mensajes significa que los usuarios pueden estar lidiando con aún más spam en los próximos días. Los atacantes también pueden lanzar ataques dirigidos contra usuarios específicos, inutilizando temporalmente sus dispositivos móviles.
¿Se acerca una solución?
La compañía le dijo al Times que sentía curiosidad por la debilidad que descubrió Sánchez y que estaría investigando. Sin embargo, Sánchez afirmó en Twitter que Snapchat había bloqueado dos cuentas que estaba usando para las pruebas, así como la dirección IP de la VPN que usa.
"Esa es su contramedida", dijo Sánchez.
La mensajería segura es un espacio cada vez más concurrido, y si Snapchat quiere mantener su popularidad, debe revertir su mala reputación de seguridad de inmediato. Y el primer paso para hacerlo es tomar en serio la comunidad de investigadores.