新闻链接：http://netsecurity.51cto.com/art/201402/428833.htm
新闻时间：2014-02-11
新闻正文：

     据国外媒体报道称，两名西班牙研究人员日前发现，知名“阅后即焚”应用Snapchat的用户验证机制中存在一个严重漏洞，黑客可以利用这一漏洞发起拒绝服务(DoS)攻击，并使用户的iPhone陷入瘫痪。

据悉，来自西班牙大型电信公司Telefonica的两名网络安全顾问杰米-桑切兹(Jaime Sanchez)和帕布罗-桑-爱玛特里奥(Pablo San Emeterio)最先发现了这一漏洞，并在上月12日便在自己的博客中详细阐明了这一漏洞的具体形式。之后，两人将自己的发现提交至了上月18日在华盛顿举行的“ShmooCon安全会议”(ShmooCon security conference)中。然而，这一漏洞可能带来的严重性后果直到桑切兹接受了美国《洛杉矶时报》记者萨尔瓦多-罗德里格斯(Salvador Rodriguez)的采访，并在2月7日刊发了一篇文章后才逐渐引起公众的重视。

桑切兹和爱玛特里奥表示，黑客可以通过复制Snapchat“安全令牌授权”展开攻击，通过回收这些“未过期的令牌”，黑客可以在短时间内向iPhone发送数千余消息使用户的iPhone容量饱和。之后，不堪重负的iPhone便会自动进行硬重启程序。

对此，罗德里格斯还特地发布了一个自己利用这一漏洞使一部最新的iPhone 5S手机瘫痪的视频。在视频中，罗德里格斯利用该漏洞向iPhone 5S发送了大量信息，并最终使该设备死机。按照他的计算，通过脚本和数台电脑，黑客可以轻松在一小时内向450万泄露账号发送大量垃圾信息。

冷漠的Snapchat

罗德里格斯表示，考虑到Snapchat此前对于独立研究人员所发现问题的处理态度，他到目前为止还没有将这一漏洞通知Snapchat，自己也不计划在未来通知Snapchat。

值得一提的是，有消息称在过去六周时间内，数名安全研究人员都曾向Snapchat提交了应用漏洞问题，但后者大多忽视了这些问题的存在。其中，有两名澳大利亚安全研究人员在去年12月公开透露称，在自己向Snapchat提交了自己所发现的应用内漏洞后，Snapchat官方直到四个月后才对此给出了回应。

与此同时，SnapchatDB.info曾有意在自己网站上公布了Snapchat 460万用户账号和电话信息。该网站表示：“我们的目的是引起公众关注此事，让Snapchat置于公众压力下，并尽快解决漏洞问题。”

需要指出的是，来自美国德州和乔治亚州的两名独立研究人员也曾公开抱怨过Snapchat的漏洞问题处理态度。

“他们似乎并不在乎安全问题，并将其视为儿戏。”桑切斯在“ShmooCon安全会议”后说道。

对此，Snapchat在接受《洛杉矶时报》采访时解释称，公司没有意识到桑切斯和爱玛特里奥所发现的漏洞问题，并希望这两人能够主动联系公司。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课