通過腳本和數臺電腦，黑客可以輕松在一小時內向450萬泄露賬號發送大量垃圾信息。

[[108404]]

據國外媒體報道稱，兩名西班牙研究人員日前發現，知名“閱后即焚”應用Snapchat的用戶驗證機制中存在一個嚴重漏洞，黑客可以利用這一漏洞發起拒絕服務(DoS)攻擊，并使用戶的iPhone陷入癱瘓。

據悉，來自西班牙大型電信公司Telefonica的兩名網絡安全顧問杰米-桑切茲(Jaime Sanchez)和帕布羅-桑-愛瑪特里奧(Pablo San Emeterio)最先發現了這一漏洞，并在上月12日便在自己的博客中詳細闡明了這一漏洞的具體形式。之后，兩人將自己的發現提交至了上月18日在華盛頓舉行的“ShmooCon安全會議”(ShmooCon security conference)中。然而，這一漏洞可能帶來的嚴重性后果直到桑切茲接受了美國《洛杉磯時報》記者薩爾瓦多-羅德里格斯(Salvador Rodriguez)的采訪，并在2月7日刊發了一篇文章后才逐漸引起公眾的重視。

桑切茲和愛瑪特里奧表示，黑客可以通過復制Snapchat“安全令牌授權”展開攻擊，通過回收這些“未過期的令牌”，黑客可以在短時間內向iPhone發送數千余消息使用戶的iPhone容量飽和。之后，不堪重負的iPhone便會自動進行硬重啟程序。

對此，羅德里格斯還特地發布了一個自己利用這一漏洞使一部最新的iPhone 5S手機癱瘓的視頻。在視頻中，羅德里格斯利用該漏洞向iPhone 5S發送了大量信息，并最終使該設備死機。按照他的計算，通過腳本和數臺電腦，黑客可以輕松在一小時內向450萬泄露賬號發送大量垃圾信息。

冷漠的Snapchat

羅德里格斯表示，考慮到Snapchat此前對于獨立研究人員所發現問題的處理態度，他到目前為止還沒有將這一漏洞通知Snapchat，自己也不計劃在未來通知Snapchat。

值得一提的是，有消息稱在過去六周時間內，數名安全研究人員都曾向Snapchat提交了應用漏洞問題，但后者大多忽視了這些問題的存在。其中，有兩名澳大利亞安全研究人員在去年12月公開透露稱，在自己向Snapchat提交了自己所發現的應用內漏洞后，Snapchat官方直到四個月后才對此給出了回應。

與此同時，SnapchatDB.info曾有意在自己網站上公布了Snapchat 460萬用戶賬號和電話信息。該網站表示：“我們的目的是引起公眾關注此事，讓Snapchat置于公眾壓力下，并盡快解決漏洞問題。”

需要指出的是，來自美國德州和喬治亞州的兩名獨立研究人員也曾公開抱怨過Snapchat的漏洞問題處理態度。

“他們似乎并不在乎安全問題，并將其視為兒戲。”桑切斯在“ShmooCon安全會議”后說道。

對此，Snapchat在接受《洛杉磯時報》采訪時解釋稱，公司沒有意識到桑切斯和愛瑪特里奧所發現的漏洞問題，并希望這兩人能夠主動聯系公司。