iMessage é vulnerável a ataques de negação de serviço

01 Abr 2013 · Notícias 34 Comentários

O iMessage é o serviço da Apple e um dos mais populares para troca de mensagens e conteúdos multimedia. Numa informação divulgada pelo site The Next Web pode ler-se que este serviço é vulnerável a ataques de negação de serviço (vulgarmente designados apenas de Dos – Denial of Service) o que pode poe em causa toda a fiabilidade do serviço.

Este ataque foi apenas direcionado a um grupo de programadores do iOS mas, a simplicidade do mesmo, pode mesmo afectar todos os utilizadores deste serviço uma vez que não existe ainda uma solução para evitar tal inoperacionalidade da aplicação/serviço.

Uma recente onda de testes a serviços da Apple revelou à identificação de limitações no serviço iMessage da Apple. O ataque realizado tinha com base num pequeno script que procedia ao envio, em massa de mensagens, para um determinado destino. Não estando preparada para tal situação, a aplicação iMessage torna-se inoperacional.

Para Grant Paul, um dos programadores de iOS afectados, aquilo que aconteceu foi uma inundação de mensagens e o serviço não está preparado para tal

What’s happening is a simple flood: Apple doesn’t seem to limit how fast messages can be sent, so the attacker is able to send thousands of messages very quickly

iH8sn0w, conhecido pelos Jailbreaks para equipamentos Apple e também uma das vitimas, apresentou “a prova do conceito” de como o AppleScript pode funcionar e afectar o serviço. Para iH8sn0w, se a Apple não limitar o numero de mensagens por período de tempo, então os utilizador vão receber carradas de SPAM no iMessage.

If Apple doesn't limit the influx of messages, a user's app will quickly become filled with what amounts to piles of spam.

Até ao momento ainda não há nenhuma informação oficial por parte da Apple nem resolução para tal vulnerabilidade que pode facilmente afectar todos os utilizadores do serviço iMessage.

Este artigo tem mais de um ano

Acompanhe o Pplware no Google Notícias

Propor Revisão Proponha uma correção, faça uma sugestão

Autor: Pedro Pinto

Comentários34

Rui says:

1 de Abril de 2013 às 13:01

FAKE!!!

iMessage é perfeito! Calunias! 😀

Responder
- Igor Oliveira says:
  
  1 de Abril de 2013 às 14:04
  
  Nada é perfeito.
  
  Responder
  - Rui says:
    
    1 de Abril de 2013 às 16:22
    
    A sério?
    
    Responder
Carlos Duarte says:

1 de Abril de 2013 às 13:42

É normal, com o iPhone a tornar-se tão popular… Porque é que o Pplware ainda não falou do iPlay? http://uk.ign.com/videos/2013/04/01/apple-introducing-iplay-game-console

Responder
- Vítor M. says:
  
  1 de Abril de 2013 às 17:26
  
  Gostei da ideia e do tipo com o copo na mão? 😀
  
  Responder
- golias17 says:
  
  1 de Abril de 2013 às 20:46
  
  Muito bom mesmo.
  
  Responder
- Benchmark do iPhone 5 says:
  
  1 de Abril de 2013 às 23:17
  
  Grande vídeo.
  
  Responder
-_- says:

1 de Abril de 2013 às 14:00

Fan boys of Android/Apple will attacks

In 3…2..1…

Let’s war beginning…!

Responder
- Daniel Gomes says:
  
  1 de Abril de 2013 às 14:56
  
  Your english skills gave me cancer…
  
  Responder
  - -_- says:
    
    1 de Abril de 2013 às 20:37
    
    Good…die in peace!
    
    Responder
Filipe says:

1 de Abril de 2013 às 14:13

Mas existe algum serviço apple que não esteja vulnerável?

Responder
- Jorge Carvalho says:
  
  1 de Abril de 2013 às 14:24
  
  Bem , a tua pergunta é pertinente , mas posta assim a resposta só pode ser :
  Conheces mais ? A Apple agradece certamente 🙂
  
  Abc
  
  Responder
- golias17 says:
  
  1 de Abril de 2013 às 14:29
  
  Tudo está vulnerável, basta a cabeça certa dedicar tempo suficiente. Seja apple ou não
  
  Responder
  - Jorge Carvalho says:
    
    1 de Abril de 2013 às 15:01
    
    Ahh nesse ponto concordo em absoluto 🙂
    
    Abc
    
    Responder
Rui says:

1 de Abril de 2013 às 14:30

Para quem diz que a Apple “não tem virus” ou é muito mais fiável que todos os outros… :D.

Até há uns belos aninhos os servidores de IRC tinham boas protecções anti-flood…

Responder
Carlos Sousa says:

1 de Abril de 2013 às 14:37

Feliz dia das mentiras.

Responder
Benchmark do iPhone 5 says:

1 de Abril de 2013 às 15:43

“A denial of service outage occurs when attackers bombard a Web site’s servers with fake packets of information requests. When the targeted server responds, the attackers’ system steps up the barrage by sending more requests. The affected Web site struggles to keep up with the mounting number of requests, slowing performance for users or ultimately crashing the system.”
Foi assim que foi noticiado o primeiro grande ataque “denial of service (DoS)”, contra os servidores do Yahoo em Fevereiro de 2010.

Primeiro parágrafo do post:
“Numa informação divulgada pelo site The Next Web pode ler-se que este serviço é vulnerável a ataques de negação de serviço (vulgarmente designados apenas de Dos – Denial of Service) o que pode por em causa toda a fiabilidade do serviço.Este ataque foi apenas direcionado a um grupo de programadores do iOS”.

Bem, foi só a app iMessage do iPhone de cada um dos seis atingidos que crashou (até terem resolvido o assunto), não foram os servidores da Apple que gerem o iMessage que crasharam. Acho que a expressão “o serviço de iMessage é vulnerável a ataque por negação de serviço” está francamente exagerada. De facto às vezes fala-se em conseguir “desligar uma máquina da web” através do ataque DoS, mas está-se a falar de servidores que prestam serviços, e não de uma app num iPhone.

Responder
- Pedro Pinto says:
  
  1 de Abril de 2013 às 15:49
  
  Caro Benchmark do iPhone 5
  Ao envio massivo de mensagens poderá dar-se o nome de SPAM..no entanto, nesta situação o envio massivo de mensagens faz com que o serviço/app deixe de funcionar, podendo ser caracterizado como um ataque de negação de serviço (a uma escala menor daquilo que estamos habituados).
  Quando refiro serviço, não falo à escala da infraestrutura..mas sim serviço iMessage que cada um tem no seu iDevice mas que de facto se deve a um problema no próprio serviço já que não barra a “rajada” de mensagens..daí não considerar que a expressão “o serviço de iMessage é vulnerável a ataque por negação de serviço” seja “FRANCAMENTE” exagerada.
  
  Responder
  - Benchmark do iPhone 5 says:
    
    1 de Abril de 2013 às 16:16
    
    A diferença está entre entupirem a app iMessage dos seis “top hackers”, com umas centenas de mensagens, ou crasharem o serviços de iMessage.
    
    Nenhum dos seis, e trata-se de gente “encartada” ligada ao jailbreak, disse que a Apple não tinha meios para controlar um ataque de maiores dimensões, ou ao que está post, um ataque que “pode mesmo afectar todos os utilizadores deste serviço”.
    
    Acho a “coisa” francamente exagerada. Pode-se discutir se deve existir uma api para iOS para permitir filtrar mensagens e chamadas, mas não me parece que vá além disso.
    
    Responder
    - Pedro Pinto says:
      
      1 de Abril de 2013 às 16:18
      
      Mas o problema nem sequer está na API…é um problema de serviço.
      Compara ao e-mail..é culpa do teu cliente de e-mail se recebes SPAM?
      
      Responder
      - Benchmark do iPhone 5 says:
        
        1 de Abril de 2013 às 16:31
        
        O iMessage é o serviço de SMS da Apple, entre equipamentos do iOS.
        
        A única diferença é que em vez de as mensagens serem cobradas pelo operador como SMS são cobradas como tráfego de dados.
        
        Não vejo como é que o problema esteja no serviço. A única coisa substantiva que vi escrita foi a referência à impossibilidade de, na app iMessage, o utilizador não poder bloquear mensagens e chamadas de números indesejados.
      - Benchmark do iPhone 5 says:
        
        1 de Abril de 2013 às 16:35
        
        …entre equipamentos do iOS…, contando também com o iMessage, para Mac (de onde as mensagens foram enviadas neste caso).
      - Pedro Pinto says:
        
        1 de Abril de 2013 às 17:01
        
        Se o serviço não filtra…a app nao aguenta
      - eduardo says:
        
        1 de Abril de 2013 às 17:48
        
        @ Pedro Pinto “Se o serviço não filtra…a app nao aguenta”?
        Essa não se entende, durante anos houve SPAM e as aplicações mal ou
        bem aguentavam
      - Pedro Pinto says:
        
        1 de Abril de 2013 às 18:56
        
        É tudo uma questão de analise da disponibilidade
      - Benchmark do iPhone 5 says:
        
        1 de Abril de 2013 às 17:56
        
        Mas que “serviço de SMS” é que filtra as mensagens ? Não
        recebes todos os SMS que te enviarem ? (exceto se tiveres um meio
        de bloquear mensagens ou chamadas, o que não existe para iOS).
        Conhecendo o teu número de telemóvel, não te podem enviar
        centenas/milhares de SMS, com spam ou apenas carateres unicode,
        como foi o caso ? (No iMessage, além do nº de telefone pode ser
        usado a Apple ID, geralmente o endereço de email publicitado pelos
        próprios, que foi o que sucedeu). No caso do iMessage é mais fácil
        porque pode ser (e foi) usado o iMessage para Mac e as mensagens
        podem ser enviadas (e foram) estando ligado a uma rede Wi-Fi e não
        à rede telefónica. A questão é que as mensagens/SMS não são mails,
        para os quais os serviços de email criaram filtros anti-spam. No
        caso destas mensagens do iMessage, foram enviadas umas centenas
        para uma meia dúzia de contas. Não sei se isso, em milhões de
        mensagens, pode ser detetado e filtrado pelo serviço.
  - eduardo says:
    
    1 de Abril de 2013 às 17:40
    
    O ataque de negação de serviço, pelo qual tem sido designado por muita gente, não é ao serviço do iMessage mas à aplicação num aparelho, por problemas inerentes à aplicação.
    São esses problemas que podem tornar o acesso à conta impossível, deixando a aplicação responder, sendo aliás referido que a aplicação parece não ser capaz de “lidar” bem com caracteres complexos e textos longos. O que tb é criticado é facto de a aplicação no Mac permitir que haja o envio massivo de mensagens.
    Pode se pôr a hipótese de aplicar algum filtro nos servidores para minimizar, mas haveria sempre forma de alguém contornar, enquanto o problema não for resolvido na aplicação.
    
    Responder
    - Pedro Pinto says:
      
      1 de Abril de 2013 às 17:45
      
      Boas eduardo,
      
      Volto a dar o exemplo do e-mail. Se receberes N mensagens de SPAM a culpa é do teu cliente de e-mail?
      Ok, a aplicação pode também ter um problema em lidar com “grandes cargas” de informação e caracteres manhosos…mas essa filtragem tem de passar inicialmente pelos servidores.
      
      Voltando ao e-mail…mesmo que nao tenhas bugs no cliente de e.mail e recebas carradas de SPAM direto…nao sei se app, mesmo sendo perfeita, aguenta. Neste caso entram ainda as questões de autonomia do dispositivo, segurança, incomodo e afins.
      É um problema de serviço…que desvendou problemas no cliente.
      
      Responder
      - Benchmark do iPhone 5 says:
        
        1 de Abril de 2013 às 21:07
        
        Não podes comparar as “mensagens intantâneas” (SMS) com uma conta de email – onde, se se quiser, se tem acesso aos mails que foram filtrados como spam … e muitos não são.
        
        Com as mensagens intantâneas isso não funciona. Para os servidores não filtrarem o que não deviam – recebes tudo o que te enviarem. Não está previsto o “consulte as mensagens consideradas como spam”.
        
        Quantos à “informação com caracteres manhososos”, neste ataque(zito) foram usadas as quatro linhas, simples, que estão na imagem do post. Não têm nada para um servidor filtrar. O The Next Web é que acrescentou um exemplo de “um pequeno (wtf) extrato de texto em Unicode que pode, eventualmente, bloquear o iMessage” e faz de conta que foi usada uma mensagem parecida.
        http://thenextweb.com/apple/2013/03/29/imessage-denial-of-service-prank-spams-users-rapidly-with-messages-crashes-ios-messages-app/
      - Pedro Pinto says:
        
        1 de Abril de 2013 às 21:35
        
        As mensagens para chegar de dispositivo a dispositivo, passam por um sistema central. Ora se é detectado um fluxo elevado de mensagens de um origem que foi identificada..então mete-se numa black list. Faz-me lembrar o que as vezes acontece com o skype…de vez enquanto la aparece um “caramelo” com uma mensagem estranha.
      - Benchmark do iPhone 5 says:
        
        2 de Abril de 2013 às 01:02
        
        Tens aí um bom exemplo – por que é que o serviço Skype não tem filtros anti-spam ? Porque não é um serviço de email com uma “caixa” onde estejam guardadas as mensagens que o serviço considerou spam (e muitas não são), diria eu.
        
        O Skype tem é definições de privacidade, como o receber só mensagens de endereços que estejam na lista de contactos. O iMessage não tem isso nem blacklist, nem se lhe vê grande necessidade. A solução mais simples, menos complicada, costuma ser a melhor e não é por causa de a situação actual poder ser utilizado numa guerra de crianças, como neste caso, que deixa de ser verdade. Mas acho que deixar ao utilizador criar blacklists parece-me uma medida acertada. Mais do que isso “não há necessidade”, porque a solução pode ser pior que o problema. Em todo o caso pode-se sempre pedir ao operador telefónico para bloquear chamadas/mensagens de determinados números de telefone.
- Benchmark do iPhone 5 says:
  
  1 de Abril de 2013 às 15:50
  
  Só uma correcção, não foi em 2010, foi em 2000:
  http://news.cnet.com/2100-1023-236621.html
  
  Responder
  - Benchmark do iPhone 5 says:
    
    1 de Abril de 2013 às 18:29
    
    Já agora, para finalizar, o motivo porque creio que a minha modesta pessoa não será alvo de ataque 😀
    
    “iH8sn0w (o do último jaibreak) conseguiu descobrir a origem do ataque, que terá partido de uma conta de Twitter envolvida na venda de UDIDs (o número único que identifica os iPhones) e na instalação de apps pirateadas.”
    
    Enfim, brigas de hackers infantis. Diz um: “Deixa estar meu s***** que te vou entupir o iMessage todo”.
    
    http://exameinformatica.sapo,pt/noticias/software/2013/04/01/ataque-ao-imessage-pode-ser-o-inicio-de-dor-de-cabeca-para-utilizadores#ixzz2PEViLPDZ
    
    Responder
worm(corot7b2) says:

25 de Novembro de 2013 às 00:28

Gabreil têm razão “Tudo está vulnerável, basta a cabeça certa dedicar tempo suficiente. Seja apple ou não”… não sejam otários dizendo que não saída, tempo meus caros essa é a palavra chave….

Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.