У дома Securitywatch Имесаж, използван при дразнещи атаки за отказ на обслужване

Имесаж, използван при дразнещи атаки за отказ на обслужване

Видео: WWDC 2020 Special Event Keynote — Apple (Ноември 2024)

Видео: WWDC 2020 Special Event Keynote — Apple (Ноември 2024)
Anonim

Според съобщенията някои разработчици на приложения за iOS са били насочени към атака за отказ на услуга (DOS) което използва някои големи пропуски в приложението iMessage на Apple. Да се ​​надяваме, че Apple ще забележи преди изданието да стане по-широко разпространено.

Според The ​​Next Web, разработчиците iH8sn0w, Grant Paul и други са получили безброй съобщения на своите устройства с iOS, които могат да сринат приложението и в някои случаи да ги изключат изцяло от своите системи за съобщения. Това е особено досадно, защото приложението Apple Messages се използва за управление както на iMessages, които се изпращат от приложението за съобщения за настолни съобщения на Apple, така и на текстови съобщения, изпращани от мобилни телефони.

"Спамърът iMessage вече напълно ме извади от приложението ми за iOS Messages, като изпраща дълги низове от символите на Unicode", туитира Грант Пол в петък. „Определено е DoS.“

Въпреки че мотивът за атаките е неясен, iH8sn0w предложи в акаунта в Twitter, че друг асистент разработчик може да стои зад атаките. Спам съобщенията включват препратки към групата на анонимните, въпреки че връзката изглежда малко вероятна, тъй като групата обикновено се фокусира върху големи социални проблеми.

В Twitter iH8sn0w заяви, че атаките са били „само куп деца, отегчени да играят с AppleScript“.

Как работи

Атаката се възползва от няколко уникални аспекта в iMessage. Първо, че очевидно няма ограничение за това колко съобщения могат да бъдат изпратени до приложението или колко бързо тези съобщения се изпращат от iMessage. Въпреки че това може да е добре за бързи разговори чрез незабавно съобщение, позволено е нападателите да изпращат съобщения с тревожна скорост.

Второ, няма начин да блокираме отделните потребители в iMessage. След като някой има вашето потребителско име на Apple, той може да продължи да ви изпраща съобщения и има малко жертви.

При атаките акаунтът на жертвата получава или огромен брой съобщения, или изключително големи съобщения. И в двата случая чистото количество информация затруднява дори достъпа до приложението за iOS, за да се изчисти изпратеното до него боклуци. В някои случаи могат да бъдат включени необичайни Unicode символи или емоджи, които правят съобщенията толкова големи и сложни, че приложението Съобщения се срива.

Според iH8sn0w, атаката изглежда била достатъчно проста, че се провежда с AppleScript - основният кодиращ език на Apple. iH8sn0w също заяви в туит, че в крайна сметка той или тя деактивира акаунта, за да спре потопа от съобщения.

По-големи последици?

Добрата новина е, че нападател ще се нуждае от името на акаунта ви в iMessage, преди да монтира атака с текстово съобщение. Изглежда също така, че атаките могат да бъдат изпълнявани само на човек

Има обаче основни промени, които Apple би могла да приложи, за да предотврати проблема. Средството за блокиране на обидни потребители е често срещана черта сред другите чат услуги и приложения, а решението на Apple да го изключи изглежда сляпо оптимистично.

Понастоящем единственото прибягване до жертви е ограничаването на сигналите за iMessages от „само моите контакти“ и след това премахването на обидни лица от вашите контакти.

Друга промяна би поставила някакъв лимит на съобщенията. Когато разговаряхме с Андрю Конуей от Cloudmark за спам с SMS, той предложи, че премахването на неограничени текстови планове значително ще намали количеството на спам мобилни телефони. Дори само няколко секунди почивка за всеки няколкостотин съобщения ще даде на жертвите критичен прозорец за реакция.

Лично тази атака ми напомня за старите времена на AIM, където потребителите можеха да бъдат чукнали офлайн или дори да бъдат забранени от услугата с малко ноу-хау от страна на нападателя. Тази сравнително нова функция от Apple трябва да съдържа проблем, който други компании, решени преди близо 20 години, почти обобщава цялата тази афера.

Имесаж, използван при дразнещи атаки за отказ на обслужване