Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Une faille de sécurité de Snapchat permet une attaque d’iPhone par DoS

Combien avait proposé Facebook déjà ?

Une faille de sécurité de Snapchat permet une attaque d'iPhone par DoS

Le 10 février 2014 à 17h20

Snapchat s'illustre une nouvelle fois à cause d'une faille de sécurité de son application mobile pour iOS. Cette dernière permet d'envoyer jusqu'à 1 000 messages en l'espace de cinq secondes. Pire, elle peut faire planter un iPhone via une attaque par DoS.

Snapchat capture 

Crédits : Jaime Sanchez

 

Après la fuite de données d'une partie de ses utilisateurs, des plaintes pour spam et un système de protection contourné en moins de 30 minutes, Snapchat est une nouvelle fois sous les feux de la rampe pour un problème de sécurité. C'est Jaime Sanchez, un responsable en sécurité qui a publié un billet durant le week-end expliquant la faille en détail. Celle-ci permet d'envoyer un nombre important de Snap (les messages) et s'ils sont reçus sur un iPhone, celui-ci va finir par planter. Dans sa démonstration, 1 000 messages sont envoyés en l'espace de cinq secondes. Tant que le smartphone n'a pas été redémarré et que l'attaque n'est pas finie, il est tout simplement inutilisable. 

 

Voici d'ailleurs une vidéo montrant le mobile bloqué sous cette attaque que certains qualifierons de DoS :

 

 

Cette nouvelle faille ne semble fonctionner que sur la version dédiée à l'iPhone. Sanchez indique que sur Android, le smartphone est effectivement ralenti, mais il continue de supporter la charge. Dans son billet, il ajoute que « le problème est relativement simple à comprendre. Snapchat utilise des jetons de sécurité pour s'authentifier. Ces jetons sont utilisés pour prouver l'identité numérique d'un utilisateur, en lieu et place d'un mot de passe, pour certifier que le client est celui qui doit l'être, de sorte qu'il n'ait pas besoin d'échanger le mot de passe de l'utilisateur qui pourrait être la cible d'attaquants ».

 

Il précise en outre que « le jeton est créé à chaque fois que vous faites une modification de votre liste d'utilisateurs, que vous envoyez un snap, etc. Il est basé sur le mot de passe et le timestamp  [...] le problème est que le jeton n'expire jamais. J'ai utilisé pour cette attaque un jeton créé il y a à peu près un mois. Donc j'utilise un script personnalisé que j'ai créé pour envoyer des snaps à une liste d'utilisateurs. Cela permettrait à un attaquant de spammer les 4,6 millions de comptes en moins d'une heure ».

 

Pour l'instant, Snapchat n'a pas réagi officiellement à ce problème et encore moins promis de solution. Par contre, la jeune société s'est empressée de supprimer les deux comptes utilisés pour bombarder les utilisateurs ainsi que bloquer l'IP du VPN de Sanchez. Ce dernier indique ne toujours pas être en relation avec Snapchat pour résoudre ce nouveau problème. Un fait plutôt étonnant car la société indiquait au début du mois dernier de la contacter par email pour ce genre de problème...

Commentaires (22)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Hop. App supprimer.

Pas sur qu’ils soit fichu avec toutes ces mauvaises pub, les gens continueront de l’utiliser malgré tout.

votre avatar

Le problème c’est que la majorité des utilisateurs de cette app en a rien à faire de la sécurité, tant qu’il peuvent recevoir des photos de leur nana topless <img data-src=" />

votre avatar







DownThemAll a écrit :



Le problème c’est que la majorité des utilisateurs de cette app en a rien à faire de la sécurité, tant qu’il peuvent recevoir des photos de leur nana topless <img data-src=" />



Etant entouré de personnes usant de ce logiciel, je peux être que d’accord.



La sécu ? OSEF tant qu’on peut envoyer et recevoir des photos.


votre avatar







0rsa a écrit :



Encore faut-il que les utilisateurs soient au courant.



Qui l’utilise ici ?







Sur le chat skyrock entres autres…


votre avatar







Arcy a écrit :



Etant entouré de personnes usant de ce logiciel, je peux être que d’accord.

La sécu ? OSEF tant qu’on peut envoyer et recevoir des photos.







Pourtant ce genre d’appli se devrait, de part leur vocation à transmettre du contenu “sensible” d’avoir une securité au top, du moins de faire la maximum pour résister aux attaques.



Au lieu de ça on a une appli ou le système anti screenshot se contourne facilement, à la politique de confidentialité floue et qui n’est même pas foutue d’éviter des fuites de données. Allors pour ce qui est de crypter les messages…



Voila comment j’imagine une messagerie “sécurisée”



A l’inscription chaque utilisateur reçoit une clef publique et une clef privée.

Chaque photo est chiffrée avec la chef publique du destinataire avant envoi au serveur

Le serveur crypte de nouveau l’image avec une clef temporaire, avant de l’envoyer au destinataire.

L’appli du destinataire récupère (via ssl ou tout autre protocole sécurisé) la clef temporaire afin de décrypter le fichier en ram.



Évidement, avant de recevoir la clef, l’appli devra confirmer au serveur qu’elle n’est pas compromise (signature numerique) et que l’environnement est propre (dans la mesure du possible). Entre autres interdiction du debug usb, détection des outils de hack voire refus de lancement sur un tel rooté. Ca ne protégera pas à 100% des attaques, mais ca devrait suffire à rendre la récupération des photos plus complexe



PS: Une fois la validité dépassée, l’appli ne se contente pas d’effacer les fichiers cryptés, il les écrase avec des données aléatoires. Quant à la clef privée, elle est elle aussi cryptée avec le mot de passe de l’utilisateur.





votre avatar

Suis-je le seul à faire un lien entre le refus de(s) offres de rachat et la cascade de mauvaises nouvelles pour eux??



A croire que quelqu’un voudrait leur faire du mal…

votre avatar

Sympa l’appli securisee… Mais si tu n’as plus assez d’espace RAM ou que ta connexion est limitée, ca va etre joyeux en terme de perf.



Ne pas négliger l’overhead du à lencryption et à la decryption.



Faire un design, c’est bien. Être conscient des aspects techniques, c’est mieux.

votre avatar







Orphis a écrit :



Ce n’est pas un DDos si ce n’est pas distribué. C’est un simple “DoS”.







les iTrucs tournent sous iOS, pas sous DOS !



<img data-src=" />


votre avatar







0rsa a écrit :



Encore faut-il que les utilisateurs soient au courant.



Qui l’utilise ici ?







Ma copine utilise ce truc.



Et e suis pas sûr qu’une nouvelle comme cela l’empêchera de l’utiliser encore.



Malheureusement, les technophiles que nous sommes sont un poil plus sensibles à ce genre de nouvelle que Madame Michu :/


votre avatar







lionnel a écrit :



Voila comment j’imagine une messagerie “sécurisée”



A l’inscription chaque utilisateur reçoit une clef publique et une clef privée.

Chaque photo est chiffrée avec la chef publique du destinataire avant envoi au serveur

Le serveur crypte de nouveau l’image avec une clef temporaire, avant de l’envoyer au destinataire.

L’appli du destinataire récupère (via ssl ou tout autre protocole sécurisé) la clef temporaire afin de décrypter le fichier en ram.





Il faudrait aussi chiffrer l’envoi vers le serveur via une clé temporaire.


votre avatar







Cedrix a écrit :



Sympa l’appli securisee… Mais si tu n’as plus assez d’espace RAM ou que ta connexion est limitée, ca va etre joyeux en terme de perf.



Ne pas négliger l’overhead du à lencryption et à la decryption.



Faire un design, c’est bien. Être conscient des aspects techniques, c’est mieux.







Pour la ram c’est pas trop un souci sur les téléphones actuels vu que les “snaps” sont assez légers (50ko par photo, 400ko max pour une vidéo). Ce serait toujours plus sur que de stocker le contenu en attente de lecture en clair, et ne compter que sur les droits d’accès du système.



Enfin bon il n’y a qu’a lire la faq de l’éditeur pour comprendre qu’ils se contrefoutent de la sécurité. Ils pourraient deja détecter le root ou jailbreak, mais évidement, ca ne serait pas bon pour le buisness. Tout comme faire une vraie messagerie sécurisée n’est pas leut objectif, le succès de cette appli reposant bien plus sur la “hype” que sur ses qualités techniques.



http://blog.snapchat.com/post/50060403002/how-snaps-are-stored-and-deleted


votre avatar









lionnel a écrit :



Pour la ram c’est pas trop un souci sur les téléphones actuels vu que les “snaps” sont assez légers (50ko par photo, 400ko max pour une vidéo). Ce serait toujours plus sur que de stocker le contenu en attente de lecture en clair, et ne compter que sur les droits d’accès du système.







si on ne fait pas confiance au système, c’est pas la peine de faire une appli…





Ils pourraient deja détecter le root ou jailbreak, mais évidement, ca ne serait pas bon pour le buisness.





C’est quoi le problème du root ? C’est spécifique aux smartphones ?

Parce naïvement je me dis que si on déclare que chaque machine où il y a un compte root/administrateur utilisable n’est pas fiable, il va plus rester beaucoup de machine sur terre.

Les comptes ça donne de la sécurité en local, ça n’assure rien en non-local.



votre avatar



si on ne fait pas confiance au système, c’est pas la peine de faire une appli..





Ben c’est la même difficulté que pour les protection anti copie ou anti cheat des jeux.

le développeur doit faire assurer l’intégrité de son soft dans un environnement ou il ne peut faire confiance au système, puisque tout ou presque peut être compromis.



Par exemple la protection Starforce installait ses propres drivers et non ceux de l’OS: c’est le seul moyen d’être (à peut prés) sur que l’on communique bien avec le bon périphérique et non un émulateur. Autre exemple, un anti cheat peut par ex vérifier que le pilote graphique n’est pas altéré, mais snapchat est vulnérable face à un hack du serveur graphique.



C’est encore pire dans le cas de snapchat puisque l’application tourne avec des droits restreints et ne peut donc pas vérifier quoi que ce soit de son environnement n’est pas compromis.





C’est quoi le problème du root ? C’est spécifique aux smartphones ?





Le problème n’est pas le root, c’est le fait de considerer que les permissions vont suffire à empêcher l’utilisateur ou une appli tierce d’accéder à un contenu l dans le stockage interne (et donc qu’il n’y a pas besoin de le chiffrer) puisque les OS mobiles n’ont officiellement pas d’accès root pour l’utilisateur. C’est simplement oublier qu’il est facile de contourner le système de permission, aussi bien sur Android qu’Ios. D’ou l’utilité de chiffrer tout ce qui peut l’être.

votre avatar

Je crois qu’ils auraient du vendre à Facebook il y a quelques mois, avec toute la mauvaise pub c’est pas bon pour le business <img data-src=" />

votre avatar

Ce n’est pas un DDos si ce n’est pas distribué. C’est un simple “DoS”.

votre avatar



Combien avait proposé Google déjà ?



<img data-src=" />

votre avatar







Patatt a écrit :



Je crois qu’ils auraient du vendre à Facebook il y a quelques mois, avec toute la mauvaise pub c’est pas bon pour le business <img data-src=" />





“c’est pas bon” ? c’est carrément mort oui !!! <img data-src=" />


votre avatar







Patatt a écrit :



Je crois qu’ils auraient du vendre à Facebook il y a quelques mois, avec toute la mauvaise pub c’est pas bon pour le business <img data-src=" />





Oui, ca sent pas bon pour eux.


votre avatar

Encore faut-il que les utilisateurs soient au courant.



Qui l’utilise ici ?

votre avatar

Il faut aussi que les utilisateurs soient tous sur iPhone.

votre avatar

Quand le marketing se met à la programmation <img data-src=" />

votre avatar







0rsa a écrit :



Encore faut-il que les utilisateurs soient au courant.



Qui l’utilise ici ?









Je l’utilise (enfin j’en recois) et ca donne envie de supprimer l’app c’est sur !





Ps : je n’arrive pas à lire les commentaires sous iphone ( à jour)


Une faille de sécurité de Snapchat permet une attaque d’iPhone par DoS

Fermer