Будинки Securitywatch Засоби, що застосовуються при дратівливих атак на відмову в обслуговуванні

Засоби, що застосовуються при дратівливих атак на відмову в обслуговуванні

Відео: WWDC 2020 Special Event Keynote — Apple (Листопад 2024)

Відео: WWDC 2020 Special Event Keynote — Apple (Листопад 2024)
Anonim

Як повідомляється, деякі розробники додатків для iOS були націленими на атака відмови в обслуговуванні (DOS) який використовує деякі основні огляди в додатку iMessage від Apple. Сподіваємось, Apple зверне увагу до того, як випуск набуде більшого поширення.

За даними The Next Web, розробники iH8sn0w, Грант Пол та інші отримали незліченну кількість повідомлень на своїх пристроях iOS, які можуть вийти з ладу додаток, а в деяких випадках повністю заблокувати їх із своїх систем обміну повідомленнями. Це особливо дратує, оскільки додаток Apple Messages використовується для керування як iMessages, що надсилаються через настільний додаток для обміну повідомленнями Apple, так і текстовими повідомленнями, що надсилаються з мобільних телефонів.

"Спамер iMessage тепер повністю вимкнув мене з програми" Повідомлення iOS ", надіславши довгі рядки символів Unicode", - твітнув Грант Пол у п’ятницю. "Безумовно, DoS."

Хоча мотив цих атак незрозумілий, iH8sn0w запропонував у акаунті Twitter, що за атаками може бути інший розробник iOS. Спам-повідомлення містили посилання на групу Anonymous, хоча зв’язок здається малоймовірним, оскільки група загалом зосереджена на великих соціальних проблемах.

У Twitter Twitter iH8sn0w повідомив, що напади були "лише купою дітей, які нудно грали з AppleScript".

Як це працює

Атака використовує кілька унікальних аспектів в iMessage. По-перше, очевидно, що немає обмежень у тому, скільки повідомлень можна надіслати в додаток, або як швидко вони надсилаються з iMessage. Хоча це може бути добре для швидкого чату через миттєве повідомлення, зловмисникам дозволено надсилати повідомлення з тривожною швидкістю.

По-друге, немає можливості заблокувати окремих користувачів у iMessage. Після того, як хтось отримає ваше ім'я користувача Apple, він може продовжувати надсилати вам повідомлення, і жертви це мало.

Під час атак на акаунт жертви надходять або величезна кількість повідомлень, або надзвичайно великі повідомлення. У будь-якому випадку, велика кількість інформації ускладнює навіть доступ до додатка iOS, щоб очистити відходи, які надсилаються до нього. У деяких випадках можуть бути включені незвичайні символи Unicode або емоджи, щоб зробити повідомлення настільки великими і складними, що програма Messages виходить з ладу.

Згідно iH8sn0w, атака виявилася досить простою, тому що вона виконувалася за допомогою AppleScript - основної мови кодування Apple. iH8sn0w також заявив у Twitter, що врешті-решт він або вона вимкнув обліковий запис, щоб зупинити потік повідомлень.

Більші наслідки?

Хороша новина полягає в тому, що зловмиснику знадобиться ваше ім’я акаунта iMessage перед тим, як здійснити напад текстових повідомлень. Також здається, що напади можна проводити лише особисто за особою

Однак є основні зміни, які Apple могла б застосувати для запобігання проблеми. Засіб блокувати користувачів, які ображають людей, є загальною рисою інших служб та додатків для спілкування в чаті, і рішення Apple щодо виключення цього виглядає сліпо оптимістичним.

Наразі єдиним зверненням, доступним для потерпілих, є обмеження сповіщень iMessages від "лише моїх контактів", а потім видалення осіб, які ображають людей із своїх контактів.

Ще одна зміна передбачає обмеження кількості повідомлень. Коли ми розмовляли з Ендрю Конвей з Cloudmark про спам в SMS, він припустив, що усунення необмежених планів над текстовими повідомленнями значно зменшить кількість мобільних телефонів, що потрапляють на спам. Навіть декілька секунд перерви на кожні кілька сотень повідомлень дають жертвам критичне вікно для реакції.

Особисто ця атака нагадує мені старі часи AIM, коли користувачів можна було збити в автономному режимі або навіть заборонити користуватися сервісом з невеликим ноу-хау з боку нападника. Ця порівняно нова функція від Apple повинна містити проблему, яку інші компанії вирішили майже 20 років тому, в значній мірі підсумовує всю цю справу.

Засоби, що застосовуються при дратівливих атак на відмову в обслуговуванні