Вместо выпуска исправления разработчики заблокировали учетные записи, использовавшиеся для поиска бреши.
Консультант по вопросам информационной безопасности из компании Telefonica обнаружил уязвимость в процессе обработки запросов аутентификации в популярном приложении для мобильных платформ Snapchat. Данная брешь позволяет удаленному пользователю провести DoS-атаку на мобильное устройство жертвы, если оно работает на базе iOS или Android.
Как следует из сообщения Хайме Санчеса (Jaime Sanchez), суть ошибки заключается в том, что программа позволяет потенциальному злоумышленнику повторно использовать те токены аутентификации, срок действия которых уже истек.
«Благодаря этой ошибке атакующий также получает возможность рассылать спам по примерно 4,6 миллиона адресов в течение менее, чем одного часа», - пояснил исследователь, отметив, что других сценариев эксплуатации у данной бреши нет.
В заключение Санчес подчеркнул, что разработчики Snapchat избегают контакта с ним и вместо выпуска исправления или выяснения деталей, они заблокировали учетные записи, которые использовались для проверки уязвимости.
Собираем и анализируем опыт профессионалов ИБ