News

Snapchat parcha una vulnerabilidad que hacía colapsar smartphones

La aplicación para teléfonos móviles Snapchat ha parchado una vulnerabilidad que permitía a los cibercriminales utilizarla para enviar spam y hacer colapsar los teléfonos de víctimas específicas al estilo de un ataque de negación de servicio (DDoS).

Jaime Sánchez, experto en seguridad y funcionario de la empresa de telecomunicaciones Telefónica, descubrió la vulnerabilidad en diciembre del año pasado y publicó una entrada en su blog la semana pasada en la que la presentaba al público y explicaba su funcionamiento.

Sánchez explicó que la vulnerabilidad se encuentra en los tokens de seguridad de la aplicación. Estos tokens deberían funcionar como herramientas temporales para validar la identidad del usuario cuando quiere utilizar la aplicación, pero el problema es que en Snapchat los tokens no expiran.

Para Sánchez, explotar la vulnerabilidad fue sencillo: sólo tuvo que reutilizar los mismos tokens para validar los mensajes que enviaba desde el teléfono. Esto le permitía enviar hasta miles de mensajes de chat por minuto.

De este modo, el usuario puede explotar la vulnerabilidad para enviar spam de snapchat o puede establecer un blanco específico de todos sus mensajes para saturar el teléfono de su víctima con mensajes hasta hacerlo colapsar.

Snapchat dijo que se había enterado de la vulnerabilidad cuando el periódico Los Angeles Times escribió un artículo sobre el descubrimiento de Sánchez. La empresa asegura que solucionó el problema el mismo día.

Fuentes:

Snapchat flaw lets attackers crash iPhones The Guardian
Oh Snap: Snapchat Fixes Flaw That Let Attackers Shut Down Phones NBC News
Hackers can crash iPhones via Snapchat, says researcher’ The Age

Snapchat parcha una vulnerabilidad que hacía colapsar smartphones

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada