Snapchat peut être exploité pour faire planter un iPhone
Une faille dans le système d'authentification de Snapchat permet d'inonder un utilisateur de messages, ce qui fait planter l'iPhone de la victime.
Le chercheur en sécurité Jaime Sanchez a dévoilé dimanche une faille de sécurité de Snapchat, qui permet de faire planter l'iPhone ou l'iPad d'une victime en l'inondant de messages jusqu'à ce que l'appareil n'en puisse plus, et finisse par rebooter. La faille se situe au niveau des jetons d'authentification générés par Snapchat pour prouver l'identité de la personne qui utilise ses services.
Jusque là, tout va bien. Mais les jetons de Snapchat n'expirent jamais et peuvent donc être réutilisés autant de fois que souhaité. Jaime Sanchez a donc exploité cette faille pour ordonner à plusieurs ordinateurs d'envoyer des "snaps" à une liste d'utilisateurs, en utilisant à chaque fois le même token. Il devient alors possible de DDOSer l'application Snapchat d'un contact, ce qui sur iPhone a la particularité de faire planter le téléphone.
Jaime Sanchez prévient que la même méthode pourrait aussi être exploitée pour spammer les 4,6 millions de téléphones identifiés grâce à une précédente faille de Snapchat, découverte en août 2013, et corrigée seulement en janvier 2014.
Pour le moment, SnapChat n'a pas corrigé cette nouvelle faille révélée par Sanchez. Le service s'est contenté de bannir les deux comptes de tests créé par le chercheur, et l'adresse IP du service de VPN utilisé pour envoyer ses messages.