Snapchat s'illustre une nouvelle fois à cause d'une faille de sécurité de son application mobile pour iOS. Cette dernière permet d'envoyer jusqu'à 1 000 messages en l'espace de cinq secondes. Pire, elle peut faire planter un iPhone via une attaque par DoS.
Crédits : Jaime Sanchez
Après la fuite de données d'une partie de ses utilisateurs, des plaintes pour spam et un système de protection contourné en moins de 30 minutes, Snapchat est une nouvelle fois sous les feux de la rampe pour un problème de sécurité. C'est Jaime Sanchez, un responsable en sécurité qui a publié un billet durant le week-end expliquant la faille en détail. Celle-ci permet d'envoyer un nombre important de Snap (les messages) et s'ils sont reçus sur un iPhone, celui-ci va finir par planter. Dans sa démonstration, 1 000 messages sont envoyés en l'espace de cinq secondes. Tant que le smartphone n'a pas été redémarré et que l'attaque n'est pas finie, il est tout simplement inutilisable.
Voici d'ailleurs une vidéo montrant le mobile bloqué sous cette attaque que certains qualifierons de DoS :
Cette nouvelle faille ne semble fonctionner que sur la version dédiée à l'iPhone. Sanchez indique que sur Android, le smartphone est effectivement ralenti, mais il continue de supporter la charge. Dans son billet, il ajoute que « le problème est relativement simple à comprendre. Snapchat utilise des jetons de sécurité pour s'authentifier. Ces jetons sont utilisés pour prouver l'identité numérique d'un utilisateur, en lieu et place d'un mot de passe, pour certifier que le client est celui qui doit l'être, de sorte qu'il n'ait pas besoin d'échanger le mot de passe de l'utilisateur qui pourrait être la cible d'attaquants ».
Il précise en outre que « le jeton est créé à chaque fois que vous faites une modification de votre liste d'utilisateurs, que vous envoyez un snap, etc. Il est basé sur le mot de passe et le timestamp [...] le problème est que le jeton n'expire jamais. J'ai utilisé pour cette attaque un jeton créé il y a à peu près un mois. Donc j'utilise un script personnalisé que j'ai créé pour envoyer des snaps à une liste d'utilisateurs. Cela permettrait à un attaquant de spammer les 4,6 millions de comptes en moins d'une heure ».
Pour l'instant, Snapchat n'a pas réagi officiellement à ce problème et encore moins promis de solution. Par contre, la jeune société s'est empressée de supprimer les deux comptes utilisés pour bombarder les utilisateurs ainsi que bloquer l'IP du VPN de Sanchez. Ce dernier indique ne toujours pas être en relation avec Snapchat pour résoudre ce nouveau problème. Un fait plutôt étonnant car la société indiquait au début du mois dernier de la contacter par email pour ce genre de problème...
Commentaires (23)
#1
Je crois qu’ils auraient du vendre à Facebook il y a quelques mois, avec toute la mauvaise pub c’est pas bon pour le business
" />
#2
Ce n’est pas un DDos si ce n’est pas distribué. C’est un simple “DoS”.
#3
Combien avait proposé Google déjà ?
#4
#5
#6
Encore faut-il que les utilisateurs soient au courant.
Qui l’utilise ici ?
#7
Il faut aussi que les utilisateurs soient tous sur iPhone.
#8
Quand le marketing se met à la programmation
" />
#9
#10
Hop. App supprimer.
Pas sur qu’ils soit fichu avec toutes ces mauvaises pub, les gens continueront de l’utiliser malgré tout.
#11
Le problème c’est que la majorité des utilisateurs de cette app en a rien à faire de la sécurité, tant qu’il peuvent recevoir des photos de leur nana topless
" />
#12
#13
#14
#15
Suis-je le seul à faire un lien entre le refus de(s) offres de rachat et la cascade de mauvaises nouvelles pour eux??
A croire que quelqu’un voudrait leur faire du mal…
#16
Sympa l’appli securisee… Mais si tu n’as plus assez d’espace RAM ou que ta connexion est limitée, ca va etre joyeux en terme de perf.
Ne pas négliger l’overhead du à lencryption et à la decryption.
Faire un design, c’est bien. Être conscient des aspects techniques, c’est mieux.
#17
#18
#19
#20
#21
#22
si on ne fait pas confiance au système, c’est pas la peine de faire une appli..
Ben c’est la même difficulté que pour les protection anti copie ou anti cheat des jeux.
le développeur doit faire assurer l’intégrité de son soft dans un environnement ou il ne peut faire confiance au système, puisque tout ou presque peut être compromis.
Par exemple la protection Starforce installait ses propres drivers et non ceux de l’OS: c’est le seul moyen d’être (à peut prés) sur que l’on communique bien avec le bon périphérique et non un émulateur. Autre exemple, un anti cheat peut par ex vérifier que le pilote graphique n’est pas altéré, mais snapchat est vulnérable face à un hack du serveur graphique.
C’est encore pire dans le cas de snapchat puisque l’application tourne avec des droits restreints et ne peut donc pas vérifier quoi que ce soit de son environnement n’est pas compromis.
C’est quoi le problème du root ? C’est spécifique aux smartphones ?
Le problème n’est pas le root, c’est le fait de considerer que les permissions vont suffire à empêcher l’utilisateur ou une appli tierce d’accéder à un contenu l dans le stockage interne (et donc qu’il n’y a pas besoin de le chiffrer) puisque les OS mobiles n’ont officiellement pas d’accès root pour l’utilisateur. C’est simplement oublier qu’il est facile de contourner le système de permission, aussi bien sur Android qu’Ios. D’ou l’utilité de chiffrer tout ce qui peut l’être.