PplWare Mobile

iMessage é vulnerável a ataques de negação de serviço

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Rui says:

    FAKE!!!

    iMessage é perfeito! Calunias! 😀

  2. Carlos Duarte says:

    É normal, com o iPhone a tornar-se tão popular… Porque é que o Pplware ainda não falou do iPlay? http://uk.ign.com/videos/2013/04/01/apple-introducing-iplay-game-console

  3. -_- says:

    Fan boys of Android/Apple will attacks

    In 3…2..1…

    Let’s war beginning…!

  4. Filipe says:

    Mas existe algum serviço apple que não esteja vulnerável?

  5. Rui says:

    Para quem diz que a Apple “não tem virus” ou é muito mais fiável que todos os outros… :D.

    Até há uns belos aninhos os servidores de IRC tinham boas protecções anti-flood…

  6. Carlos Sousa says:

    Feliz dia das mentiras.

  7. Benchmark do iPhone 5 says:

    “A denial of service outage occurs when attackers bombard a Web site’s servers with fake packets of information requests. When the targeted server responds, the attackers’ system steps up the barrage by sending more requests. The affected Web site struggles to keep up with the mounting number of requests, slowing performance for users or ultimately crashing the system.”
    Foi assim que foi noticiado o primeiro grande ataque “denial of service (DoS)”, contra os servidores do Yahoo em Fevereiro de 2010.

    Primeiro parágrafo do post:
    “Numa informação divulgada pelo site The Next Web pode ler-se que este serviço é vulnerável a ataques de negação de serviço (vulgarmente designados apenas de Dos – Denial of Service) o que pode por em causa toda a fiabilidade do serviço.Este ataque foi apenas direcionado a um grupo de programadores do iOS”.

    Bem, foi só a app iMessage do iPhone de cada um dos seis atingidos que crashou (até terem resolvido o assunto), não foram os servidores da Apple que gerem o iMessage que crasharam. Acho que a expressão “o serviço de iMessage é vulnerável a ataque por negação de serviço” está francamente exagerada. De facto às vezes fala-se em conseguir “desligar uma máquina da web” através do ataque DoS, mas está-se a falar de servidores que prestam serviços, e não de uma app num iPhone.

    • Pedro Pinto says:

      Caro Benchmark do iPhone 5
      Ao envio massivo de mensagens poderá dar-se o nome de SPAM..no entanto, nesta situação o envio massivo de mensagens faz com que o serviço/app deixe de funcionar, podendo ser caracterizado como um ataque de negação de serviço (a uma escala menor daquilo que estamos habituados).
      Quando refiro serviço, não falo à escala da infraestrutura..mas sim serviço iMessage que cada um tem no seu iDevice mas que de facto se deve a um problema no próprio serviço já que não barra a “rajada” de mensagens..daí não considerar que a expressão “o serviço de iMessage é vulnerável a ataque por negação de serviço” seja “FRANCAMENTE” exagerada.

      • Benchmark do iPhone 5 says:

        A diferença está entre entupirem a app iMessage dos seis “top hackers”, com umas centenas de mensagens, ou crasharem o serviços de iMessage.

        Nenhum dos seis, e trata-se de gente “encartada” ligada ao jailbreak, disse que a Apple não tinha meios para controlar um ataque de maiores dimensões, ou ao que está post, um ataque que “pode mesmo afectar todos os utilizadores deste serviço”.

        Acho a “coisa” francamente exagerada. Pode-se discutir se deve existir uma api para iOS para permitir filtrar mensagens e chamadas, mas não me parece que vá além disso.

        • Pedro Pinto says:

          Mas o problema nem sequer está na API…é um problema de serviço.
          Compara ao e-mail..é culpa do teu cliente de e-mail se recebes SPAM?

          • Benchmark do iPhone 5 says:

            O iMessage é o serviço de SMS da Apple, entre equipamentos do iOS.

            A única diferença é que em vez de as mensagens serem cobradas pelo operador como SMS são cobradas como tráfego de dados.

            Não vejo como é que o problema esteja no serviço. A única coisa substantiva que vi escrita foi a referência à impossibilidade de, na app iMessage, o utilizador não poder bloquear mensagens e chamadas de números indesejados.

          • Benchmark do iPhone 5 says:

            …entre equipamentos do iOS…, contando também com o iMessage, para Mac (de onde as mensagens foram enviadas neste caso).

          • Pedro Pinto says:

            Se o serviço não filtra…a app nao aguenta

          • eduardo says:

            @ Pedro Pinto “Se o serviço não filtra…a app nao aguenta”?
            Essa não se entende, durante anos houve SPAM e as aplicações mal ou
            bem aguentavam

          • Pedro Pinto says:

            É tudo uma questão de analise da disponibilidade

          • Benchmark do iPhone 5 says:

            Mas que “serviço de SMS” é que filtra as mensagens ? Não
            recebes todos os SMS que te enviarem ? (exceto se tiveres um meio
            de bloquear mensagens ou chamadas, o que não existe para iOS).
            Conhecendo o teu número de telemóvel, não te podem enviar
            centenas/milhares de SMS, com spam ou apenas carateres unicode,
            como foi o caso ? (No iMessage, além do nº de telefone pode ser
            usado a Apple ID, geralmente o endereço de email publicitado pelos
            próprios, que foi o que sucedeu). No caso do iMessage é mais fácil
            porque pode ser (e foi) usado o iMessage para Mac e as mensagens
            podem ser enviadas (e foram) estando ligado a uma rede Wi-Fi e não
            à rede telefónica. A questão é que as mensagens/SMS não são mails,
            para os quais os serviços de email criaram filtros anti-spam. No
            caso destas mensagens do iMessage, foram enviadas umas centenas
            para uma meia dúzia de contas. Não sei se isso, em milhões de
            mensagens, pode ser detetado e filtrado pelo serviço.

      • eduardo says:

        O ataque de negação de serviço, pelo qual tem sido designado por muita gente, não é ao serviço do iMessage mas à aplicação num aparelho, por problemas inerentes à aplicação.
        São esses problemas que podem tornar o acesso à conta impossível, deixando a aplicação responder, sendo aliás referido que a aplicação parece não ser capaz de “lidar” bem com caracteres complexos e textos longos. O que tb é criticado é facto de a aplicação no Mac permitir que haja o envio massivo de mensagens.
        Pode se pôr a hipótese de aplicar algum filtro nos servidores para minimizar, mas haveria sempre forma de alguém contornar, enquanto o problema não for resolvido na aplicação.

        • Pedro Pinto says:

          Boas eduardo,

          Volto a dar o exemplo do e-mail. Se receberes N mensagens de SPAM a culpa é do teu cliente de e-mail?
          Ok, a aplicação pode também ter um problema em lidar com “grandes cargas” de informação e caracteres manhosos…mas essa filtragem tem de passar inicialmente pelos servidores.

          Voltando ao e-mail…mesmo que nao tenhas bugs no cliente de e.mail e recebas carradas de SPAM direto…nao sei se app, mesmo sendo perfeita, aguenta. Neste caso entram ainda as questões de autonomia do dispositivo, segurança, incomodo e afins.
          É um problema de serviço…que desvendou problemas no cliente.

          • Benchmark do iPhone 5 says:

            Não podes comparar as “mensagens intantâneas” (SMS) com uma conta de email – onde, se se quiser, se tem acesso aos mails que foram filtrados como spam … e muitos não são.

            Com as mensagens intantâneas isso não funciona. Para os servidores não filtrarem o que não deviam – recebes tudo o que te enviarem. Não está previsto o “consulte as mensagens consideradas como spam”.

            Quantos à “informação com caracteres manhososos”, neste ataque(zito) foram usadas as quatro linhas, simples, que estão na imagem do post. Não têm nada para um servidor filtrar. O The Next Web é que acrescentou um exemplo de “um pequeno (wtf) extrato de texto em Unicode que pode, eventualmente, bloquear o iMessage” e faz de conta que foi usada uma mensagem parecida.
            http://thenextweb.com/apple/2013/03/29/imessage-denial-of-service-prank-spams-users-rapidly-with-messages-crashes-ios-messages-app/

          • Pedro Pinto says:

            As mensagens para chegar de dispositivo a dispositivo, passam por um sistema central. Ora se é detectado um fluxo elevado de mensagens de um origem que foi identificada..então mete-se numa black list. Faz-me lembrar o que as vezes acontece com o skype…de vez enquanto la aparece um “caramelo” com uma mensagem estranha.

          • Benchmark do iPhone 5 says:

            Tens aí um bom exemplo – por que é que o serviço Skype não tem filtros anti-spam ? Porque não é um serviço de email com uma “caixa” onde estejam guardadas as mensagens que o serviço considerou spam (e muitas não são), diria eu.

            O Skype tem é definições de privacidade, como o receber só mensagens de endereços que estejam na lista de contactos. O iMessage não tem isso nem blacklist, nem se lhe vê grande necessidade. A solução mais simples, menos complicada, costuma ser a melhor e não é por causa de a situação actual poder ser utilizado numa guerra de crianças, como neste caso, que deixa de ser verdade. Mas acho que deixar ao utilizador criar blacklists parece-me uma medida acertada. Mais do que isso “não há necessidade”, porque a solução pode ser pior que o problema. Em todo o caso pode-se sempre pedir ao operador telefónico para bloquear chamadas/mensagens de determinados números de telefone.

    • Benchmark do iPhone 5 says:

      Só uma correcção, não foi em 2010, foi em 2000:
      http://news.cnet.com/2100-1023-236621.html

  8. worm(corot7b2) says:

    Gabreil têm razão “Tudo está vulnerável, basta a cabeça certa dedicar tempo suficiente. Seja apple ou não”… não sejam otários dizendo que não saída, tempo meus caros essa é a palavra chave….

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.