Fehler in Snapchat ermöglicht DoS-Angriffe auf Smartphones

MobileSicherheitSicherheitsmanagementSmartphone
Telefónica-Experte Jaime Sanchez hat auf eine weitere Sicherheitslücke in Snapchat hingewiesen.

Die zur Nutzeridentifikation verwendeten Tokens lassen sich offenbar beliebig oft verwenden. Hacker können so innerhalb von Sekunden Tausende Nachrichten an einen Empfänger schicken. Während iPhones als Folge abstürzen, werden Android-Geräte dem Telefónica-Experten Jaime Sanchez angeblich nur langsamer.

Über eine Sicherheitslücke in der Snapchat-App könnte ein Angreifer binnen Sekunden Tausende von Nachrichten an einen einzelnen Nutzer verschicken. Das würde das Konto des Empfängers erheblich belasten. In einem Bericht der Los Angeles Times erklärt Jaime Sanchez, der als Sicherheitsberater für die Telefónica arbeitet und die Lücke entdeckt hat, würde ein so angegriffenes iPhone einfrieren und schließlich abstürzen. Android-Geräte bleiben werden dem Bericht zufolge in Betrieb, werden aber langsamer.

Telefónica-Experte Jaime Sanchez hat auf eine weitere Sicherheitslücke in Snapchat hingewiesen.

Einen solchen DoS-Angriff demonstriert Sanchez in einem Video. Sanchez zufolge ist das Problem, dass Snapchat es erlaubt, die zur Identifikation der Nutzer benutzten Token mehrfach zu verwenden. Mithilfe leistungsfähiger Computer könnten Hacker binnen kürzester Zeit riesige Mengen an Nachrichten verschicken, erklärt Sanchez auf seiner Website. Unter Ausnutzung der Lücke ließen sich Spam-Nachrichten verschicken oder eben Denial-of-Service-Angriff (DoS) auf ein spezielles Gerät durchführen.

Eigenen Angaben zufolge hat Sanchez Snapchat nicht über die Schwachstelle informiert. Dies begründet er mit dem schlechten Ruf, in dem das Unternehmen bei Sicherheitsforschern stehe. Es habe im August sowie im Dezember Hinweise von Gibson Security ignoriert, das davor gewarnt habe, eine Sicherheitslücke in der Snapchat-App erlaube den Diebstahl von Nutzerdaten. Am Neujahrstag hätten dann Unbekannte mithilfe der Schwachstelle Namen und Telefonnummern von fast fünf Millionen Nutzern abgegriffen.

Auf Nachfrage bestätigte Snapchat der Zeitung, dass es nichts von der Sicherheitslücke wisse. Es sei aber an den Details der Anfälligkeit interessiert. In einem Tweet wirft Sanchez Snapchat vor, es habe am Samstag sein Konto sowie die von ihm verwendete IP-Adresse gesperrt. “Das ist ihre Gegenmaßnahme.” Eine Stellungnahme von Snapchat dazu steht laut Los Angeles Times noch aus.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

[mit Material von Stefan Beiersmann, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen