通过脚本和数台电脑,黑客可以轻松在一小时内向450万泄露账号发送大量垃圾信息。
氧分子科技 汤姆 2月11日编译
据国外媒体报道称,两名西班牙研究人员日前发现,知名“阅后即焚”应用Snapchat的用户验证机制中存在一个严重漏洞,黑客可以利用这一漏洞发起拒绝服务(DoS)攻击,并使用户的iPhone陷入瘫痪。
据悉,来自西班牙大型电信公司Telefonica的两名网络安全顾问杰米-桑切兹(Jaime Sanchez)和帕布罗-桑-爱玛特里奥(Pablo San Emeterio)最先发现了这一漏洞,并在上月12日便在自己的博客中详细阐明了这一漏洞的具体形式。之后,两人将自己的发现提交至了上月18日在华盛顿举行的“ShmooCon安全会议”(ShmooCon security conference)中。然而,这一漏洞可能带来的严重性后果直到桑切兹接受了美国《洛杉矶时报》记者萨尔瓦多-罗德里格斯(Salvador Rodriguez)的采访,并在2月7日刊发了一篇文章后才逐渐引起公众的重视。
桑切兹和爱玛特里奥表示,黑客可以通过复制Snapchat“安全令牌授权”展开攻击,通过回收这些“未过期的令牌”,黑客可以在短时间内向iPhone发送数千余消息使用户的iPhone容量饱和。之后,不堪重负的iPhone便会自动进行硬重启程序。
对此,罗德里格斯还特地发布了一个自己利用这一漏洞使一部最新的iPhone 5S手机瘫痪的视频。在视频中,罗德里格斯利用该漏洞向iPhone 5S发送了大量信息,并最终使该设备死机。按照他的计算,通过脚本和数台电脑,黑客可以轻松在一小时内向450万泄露账号发送大量垃圾信息。
冷漠的Snapchat
罗德里格斯表示,考虑到Snapchat此前对于独立研究人员所发现问题的处理态度,他到目前为止还没有将这一漏洞通知Snapchat,自己也不计划在未来通知Snapchat。
值得一提的是,有消息称在过去六周时间内,数名安全研究人员都曾向Snapchat提交了应用漏洞问题,但后者大多忽视了这些问题的存在。其中,有两名澳大利亚安全研究人员在去年12月公开透露称,在自己向Snapchat提交了自己所发现的应用内漏洞后,Snapchat官方直到四个月后才对此给出了回应。
与此同时,SnapchatDB.info曾有意在自己网站上公布了Snapchat 460万用户账号和电话信息。该网站表示:“我们的目的是引起公众关注此事,让Snapchat置于公众压力下,并尽快解决漏洞问题。”
需要指出的是,来自美国德州和乔治亚州的两名独立研究人员也曾公开抱怨过Snapchat的漏洞问题处理态度。
“他们似乎并不在乎安全问题,并将其视为儿戏。”桑切斯在“ShmooCon安全会议”后说道。
对此,Snapchat在接受《洛杉矶时报》采访时解释称,公司没有意识到桑切斯和爱玛特里奥所发现的漏洞问题,并希望这两人能够主动联系公司。