Menú principal

sábado, 30 de marzo de 2013

Ataques D.O.S. y de Spam en iOS iMessages app

En un ataque producido este miércoles a algunos desarrolladores de herramientas populares de jailbreak - publicado por The Next Web - se han dado a conocer varios fallos de seguridad a la hora de gestionar los límites en la app de iMessages para dispositivos iOS que permiten realizar fácilmente ataques de denegación de servicio, haciendo imposible abrir la aplicación para leer los mensajes y dejando inutilizado el servicio.

Flooding de iMessages

El primero de los problemas es que iMessages no comprueba la velocidad con que se mandan los mensajes, así que con un sencillo programa escrito en AppleScript es posible enviar un flood de iMessages a la víctima hasta que el número es tan grande que la app para iOS no es capaz de renderizarlos y deja de funcionar. 

Figura 1: Flooding de iMessages hecho con un AppleScript

Rederización de mensajes complejos en iMessages

El mismo problema sucede, que termina anormalmente la app, cuando se mandan mensajes muy largos y muy complejos de renderizar, como los escritos utilizando caracteres Unicode para enviar mensajes escritos en Zalgo

Figura 2: Gran iMessage escrito en Unicode que tira la app de iMessages

Spam a través de iMessages

El último y, quizá más importante problema, es que estos ataques han demostrado que no hay ninguna opción antispam en iMessage, y teniendo que este servicio se puede utilizar de forma gratuita, cualquiera puede registrar cuentas de correo electrónico de usar y tirar, hacer una campaña de spam por iMessage, y saber que llegará a todos los poseedores de este servicio sin que nadie lo bloquee.

Figura 3: Spam enviado a varios desarrolladores iOS

Esto, que aún no es hecho por prácticamente nadie, puede convertirse en un problema serio para la usabilidad de iMessages si no se ataja de raiz pronto.

1 comentario:

  1. La tecnología nueva sirve para explotarla.

    ResponderEliminar

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares