الكشف عن ثغرة تغرق حسابات سناب شات برسائل مزعجة
اكتشف خبير أمني ثغرة في خدمة التراسل الفوري عبر الأجهزة الذكية، "سناب شات" SnapChat، وهي الثغرة التي تتيح للقراصنة إغراق حسابات مستخدمي التطبيق بالرسائل المزعجة.
وأوضح جايمي سانشيز، الخبير الأمني لشركة "تليفونيكا" للاتصالات، أن الثغرة تتيح للقراصنة شن هجمات من الرسائل المزعجة عبر إرسال الآلاف منها لمستخدم محدد خلال ثوان.
وأضاف سانشيز، عبر مدونته، أن الثغرة تتيح للمهاجم استغلال رموز أمنية قديمة تم توليدها بشكل تلقائي أثناء إرسال مجموعة من الرسائل بين مستخدمين في "سناب شات"، وذلك لتوجيه رسائل مزعجة جديدة.
وأشار الخبير إلى أن المشكلة الأساسية في الثغرة تكمن في الرموز الأمنية التي لا تنتهي بمجرد إرسال واستلام الرسائل القديمة، مضيفاً أن القراصنة يستطيعون استخدام تلك الرموز في برنامج خاص يستهدف قائمة مستخدمي "سناب شات" الذين تسربت معلوماتهم، في وقت سابق، لإغراق حساباتهم بالرسائل.
وكان أحد القراصنة قد سرب، الشهر الماضي، قائمة تضم معلومات 4.6 مليون حساب في "سناب شات"، وذلك رداً على تجاهل مسؤولي خدمة التراسل الفوري لرسائل الخبراء الأمنيين حول الثغرات ومواطن الضعف بها.
هذا، وأكد الخبير الأمني أن الرسال المزعجة ليست هي الضرر الوحيد الذي قد يصاب به الضحية، حيث تتسبب عملية الإغراق بآلاف الرسائل في أضرار للهواتف الذكية المثبت عليها تطبيق "سناب شات".
وقام سانشيز باختبار الثغرة بإرسال 1000 رسالة إلى أحد الحسابات التي تستخدم تطبيق "سناب شات" على هاتف "آيفون"، وهي الرسائل التي وصلت للمستخدم خلال خمس ثوان فقط، مما تسبب في توقف الهاتف عن العمل.
وأكد الخبير الأمني أن فيض الرسائل المزعجة تتسبب في توقف هواتف "آيفون" عن العمل مما يضطر المستخدم لإغلاقها وإعادة تشغيلها مرة أخرى، فيما تتسبب في بطء الهواتف العاملة بنظام "آندرويد".
ولم ينجح مطورو "سناب شات" في سد تلك الثغرة بعد، حسب تأكيدات سانشيز، الذي حاول الحديث مع فريق الخدمة الأمني إلا أنه فوجئ بإغلاق حسابات اختبار خاصته، وحظر عنوان بروتوكول الإنترنت الافتراضي الذي استخدمه لتجربة الثغرة.
يذكر أن سانشيز ليس الخبير الأمني الأول الذي انتقد طريقة تعامل "سناب شات" مع المبلغين عن الثغرات، حيث قامت شركة أمنية من قبل بالكشف عن ثغرتين خطيرتين في الخدمة بعد تجاهل الخدمة للبلاغات التي قدمتها عن هاتين الثغرتين.
ويشار إلى أن مسؤولي "سناب شات" كانوا قد قاموا خلال الفترة القليلة الماضية بعدة تحسينات أمنية في الخدمة بعد ازدياد أعداد الرسائل المزعجة فيها، أبرزها إضافة طريقة جديدة للتحقق من المستخدمين الجدد، إلا أن تلك الطريقة تم كسرها عقب ساعات قليلة من الكشف عنها.
|