Video: SNAPCHAT PUNTEN GLITCH | NEDERLANDS 2020 (November 2024)
Populaire foto-berichten-app Snapchat kan worden gebruikt om een denial-of-service-aanval tegen de iPhone van een gebruiker te starten, zei een beveiligingsonderzoeker.
Pocket DDOS
Aanvallers kunnen een Snapchat-gebruikersaccount binnen enkele seconden overspoelen met duizenden berichten, waardoor de app vastloopt en het hele apparaat crasht, schreef Jaime Sanchez, een beveiligingsadviseur voor het Spaanse telecommunicatiebedrijf Telefonica, in een bericht op seguridadofensiva.com. Gebruikers moeten mogelijk een harde reset uitvoeren op hun iPhones om te herstellen.
Sanchez demonstreerde de zwakte door binnen vijf seconden 1.000 berichten te verzenden naar het Snapchat-account van verslaggever Salvador Rodriguez van de Los Angeles Times, waardoor zijn apparaat werd afgesloten en opnieuw werd opgestart, meldde de Times. De aanval crasht Android-apparaten niet, hoewel ze traag worden en de app onmogelijk te gebruiken is, zei Sanchez.
Met de privacybewuste app van Snapchat kunnen gebruikers foto- en video-berichten verzenden die verdwijnen kort nadat de ontvanger ze heeft bekeken. Wanneer een gebruiker een bericht verzendt, genereert de app een nieuw token om de gebruiker te verifiëren. Helaas lijkt het erop dat oude tokens ook kunnen worden hergebruikt om extra berichten te verzenden, vond Sanchez.
Slechte beveiligingsreputatie
Snapchat positioneert zichzelf als de privacyvriendelijke berichten-app, maar heeft recentelijk met beveiligingsproblemen geworsteld. Deze laatste bevinding versterkt de slechte reputatie van het bedrijf bij cyberveiligheidsonderzoekers alleen maar.
Het bedrijf verwierp rapporten van onderzoeksgroep Gibson Security afgelopen zomer over een fout in de app die kon worden gebruikt om gebruikersgegevens bloot te leggen. Op oudejaarsavond misbruikte een andere groep het beveiligingslek en publiceerde gebruikersnamen en telefoonnummers van bijna vijf miljoen gebruikers. Snapchat rolde een oplossing uit om het gat dagen later te sluiten.
Sanchez nam geen contact op met Snapchat en ging rechtstreeks naar de Los Angeles Times omdat de startup niet om veiligheid geeft - of althans, om veiligheidsonderzoekers, zei hij. Dat is een verontrustende reputatie voor een bedrijf dat gebruikers probeert aan te trekken die zich zorgen maken over hun online privacy.
Gezien het feit dat de service een spamprobleem heeft, betekent het feit dat spammers gewoon hetzelfde token kunnen gebruiken om duizenden berichten te verzenden, dat gebruikers in de komende dagen mogelijk met nog meer spam te maken krijgen. Aanvallers kunnen ook gerichte aanvallen uitvoeren op specifieke gebruikers, waardoor hun mobiele apparaten tijdelijk onbruikbaar worden.
Komt er een oplossing?
Het bedrijf vertelde de Times dat het nieuwsgierig was naar de zwakte die Sanchez ontdekte en zou onderzoeken. Sanchez beweerde echter op Twitter dat Snapchat twee accounts had geblokkeerd die hij gebruikte voor het testen, evenals het IP-adres van de VPN die hij gebruikt.
"Dat is hun tegenmaatregel, " zei Sanchez.
Beveiligde berichten worden steeds drukker en als Snapchat zijn populariteit wil behouden, moet het zijn slechte beveiligingsreputatie onmiddellijk ongedaan maken. En de eerste stap daartoe is het serieus nemen van de gemeenschap van onderzoekers.
