Autores
La aplicación para teléfonos móviles Snapchat ha parchado una vulnerabilidad que permitía a los cibercriminales utilizarla para enviar spam y hacer colapsar los teléfonos de víctimas específicas al estilo de un ataque de negación de servicio (DDoS).
Jaime Sánchez, experto en seguridad y funcionario de la empresa de telecomunicaciones Telefónica, descubrió la vulnerabilidad en diciembre del año pasado y publicó una entrada en su blog la semana pasada en la que la presentaba al público y explicaba su funcionamiento.
Sánchez explicó que la vulnerabilidad se encuentra en los tokens de seguridad de la aplicación. Estos tokens deberían funcionar como herramientas temporales para validar la identidad del usuario cuando quiere utilizar la aplicación, pero el problema es que en Snapchat los tokens no expiran.
Para Sánchez, explotar la vulnerabilidad fue sencillo: sólo tuvo que reutilizar los mismos tokens para validar los mensajes que enviaba desde el teléfono. Esto le permitía enviar hasta miles de mensajes de chat por minuto.
De este modo, el usuario puede explotar la vulnerabilidad para enviar spam de snapchat o puede establecer un blanco específico de todos sus mensajes para saturar el teléfono de su víctima con mensajes hasta hacerlo colapsar.
Snapchat dijo que se había enterado de la vulnerabilidad cuando el periódico Los Angeles Times escribió un artículo sobre el descubrimiento de Sánchez. La empresa asegura que solucionó el problema el mismo día.
Fuentes:
Snapchat flaw lets attackers crash iPhones The Guardian
Oh Snap: Snapchat Fixes Flaw That Let Attackers Shut Down Phones NBC News
Hackers can crash iPhones via Snapchat, says researcher’ The Age
Autores
De los mismos autores
En la misma categoría
Snapchat parcha una vulnerabilidad que hacía colapsar smartphones