Jaime Sanchez, der als Sicherheitsberater für die O2-Mutter Telefónica arbeitet, hat einem Bericht der Los Angeles Times zufolge eine Lücke in der mobilen Snapchat-App entdeckt. Ein Hacker könnte innerhalb von Sekunden Tausende Nachrichten an einen einzelnen Nutzer verschicken. Als Folge wird das Konto des Empfängers so stark überlastet, dass ein iPhone einfrieren und schließlich abstürzen kann. Einen solchen DoS-Angriff demonstriert Sanchez in einem Video.
Die Anfälligkeit steckt Sanchez zufolge in Snapchats System, das es erlaubt, die zur Identifikation eines Nutzers benötigten Tokens mehrfach zu verwenden. Mithilfe leistungsfähiger Computer könnten Hacker innerhalb kürzester Zeit riesige Mengen an Nachrichten verschicken, schreibt er auf seiner Website. Die Lücke lasse sich für das Verschicken von Spam-Nachrichten benutzen oder eben für einen Denial-of-Service-Angriff (DoS) auf ein spezielles Gerät.
Während iOS-Geräte durch die Überlastung vollständig einfrieren und schließlich selbst neu starten, sind die Folgen eines Angriffs auf ein Android-Gerät dem Bericht zufolge weniger gravierend. „Diese Geräte stürzen nicht ab, aber sie werden langsamer“, schreibt die Los Angeles Times. Die Anwendung könne zudem während eines Angriffs nicht benutzt werden.
Sanchez hat nach eigenen Angaben Snapchat nicht über die Schwachstelle informiert. Dies begründet er mit dem schlechten Ruf, den das Unternehmen angeblich bei Sicherheitsforschern genießt. Es habe im August sowie im Dezember Hinweise von Gibson Security ignoriert, das davor gewarnt habe, eine Sicherheitslücke in der Snapchat-App erlaube den Diebstahl von Nutzerdaten. Am Neujahrstag hätten Unbekannte mithilfe der Schwachstelle Namen und Telefonnummern von fast fünf Millionen Snapchat-Nutzern kompromittiert. „Sie haben Snapchat gewarnt und Snapchat hat kein Interesse gezeigt“, zitiert die Los Angeles Times den Sicherheitsforscher.
Auf Nachfrage der Zeitung bestätigte Snapchat, dass es nichts von der Sicherheitslücke wisse. Es sei aber an den Details der Anfälligkeit interessiert.
In einem Tweet wirft Sanchez Snapchat zudem vor, es habe am Samstag sein Konto sowie die von ihm verwendete IP-Adresse gesperrt. „Das ist ihre Gegenmaßnahme.“ Eine Stellungnahme von Snapchat steht laut Los Angeles Times noch aus.
Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
