Video: iMessage – Renewable Energy (Lokakuu 2024)
Joidenkin iOS-sovelluskehittäjien on ilmoitettu kohdistuneen a
Seuraavan Web-sivuston mukaan kehittäjät iH8sn0w, Grant Paul ja muut ovat vastaanottaneet lukemattomia viestejä iOS-laitteilleen, jotka voivat kaataa sovelluksen ja joissain tapauksissa lukita ne kokonaan viestijärjestelmistään. Tämä on erityisen ärsyttävää, koska Applen Viestit-sovelluksella hallitaan sekä Applen työpöytäviestisovelluksesta lähetettäviä iMessageja että matkapuhelimista lähetettyjä tekstiviestejä.
"IMessage-roskapostittaja on nyt täysin sulkenut minut iOS Messages -sovelluksestani lähettämällä pitkät Unicode-merkkijonot", twiitti Grant Paul perjantaina. "Ehdottomasti DoS."
Vaikka hyökkäysten motiivi on epäselvä, iH8sn0w ehdotti Twitter-tilillä, että toinen iOS-kehittäjä saattaa olla hyökkäysten takana. Roskapostit sisältävät viittaukset nimettömään ryhmään, vaikka yhteys näyttää epätodennäköiseltä, koska ryhmä keskittyy yleensä suuriin sosiaalisiin aiheisiin.
Twitterissä iH8sn0w sanoi, että hyökkäykset olivat "vain joukko lapsia, jotka kyllästyivät leikkimään AppleScriptin kanssa".
Kuinka se toimii
Hyökkäyksessä hyödynnetään useita iMessagen ainutlaatuisia näkökohtia. Ensinnäkin, ei ole ilmeisesti mitään rajoituksia sille, kuinka monta viestiä voidaan lähettää sovellukselle tai kuinka nopeasti nämä viestit lähetetään iMessagessa. Vaikka tämä saattaa olla hieno pikaviestissä pikaviesteissä, hyökkääjät voivat lähettää viestejä hälyttävällä nopeudella.
Toiseksi, et voi estää yksittäisiä käyttäjiä iMessagessa. Kun joku on saanut Apple-käyttäjänimesi, hän voi jatkaa viestien lähettämistä, ja uhrit voivat tehdä vain vähän.
Hyökkäyksissä uhrin tili vastaanottaa joko valtavan määrän viestejä tai erittäin suuria viestejä. Kummassakin tapauksessa pelkkä tietomäärä vaikeuttaa edes iOS-sovelluksen käyttämistä tyhjentämään sille lähetettävä roska. Joissain tapauksissa epätavallisia Unicode-merkkejä tai hymiöitä voidaan sisällyttää viesteistä, jotka ovat niin suuria ja monimutkaisia, että Viestit-sovellus kaatuu.
IH8sn0w: n mukaan hyökkäys näytti riittävän yksinkertaiselta, että se suoritettiin AppleScriptin avulla - Applen peruskoodauskielellä. iH8sn0w sanoi myös twiitissä, että hän lopulta käytti tiliä estääkseen viestien tulvan.
Suurempia vaikutuksia?
Hyvä uutinen on, että hyökkääjä tarvitsee iMessage-tilinimesi ennen tekstiviestin hyökkäyksen asentamista. Näyttää myös siltä, että hyökkäyksiä voidaan suorittaa vain henkilökohtaisesti
On kuitenkin olemassa perusmuutoksia, jotka Apple voi toteuttaa ongelman estämiseksi. Tapa estää loukkaavia käyttäjiä on yhteinen piirre muiden keskustelupalvelujen ja sovellusten keskuudessa, ja Applen päätös sulkea se pois vaikuttaa sokeasti optimistiselta.
Tällä hetkellä ainoa uhrien käytettävissä oleva keino on rajoittaa iMessages-ilmoituksia "vain yhteystiedoistani" ja poistaa sitten loukkaavat henkilöt yhteystiedoista.
Toinen muutos asettaisi jonkinlaisen rajan viesteille. Kun keskustelimme Cloudmarkin Andrew Conwayn kanssa SMS-roskapostista, hän ehdotti, että rajoittamattomien tekstiviestisuunnitelmien poistaminen vähentäisi huomattavasti matkapuhelimiin kohdistuvan roskapostin määrää. Jopa muutaman sekunnin tauko jokaisesta sadasta viestistä antaisi uhreille kriittisen ikkunan reagoida.
Henkilökohtaisesti tämä hyökkäys muistuttaa minua AIM: n vanhoista ajoista, jolloin käyttäjiä voidaan koputtaa offline-tilassa tai jopa kieltää palvelu palvelusta hyökkääjän pienellä tietotaidolla. Se, että Applen suhteellisen uuden ominaisuuden tulisi sisältää kysymys, jonka muut yritykset ratkaisivat melkein 20 vuotta sitten melko paljon, koko tämän asian.
