Un vero e proprio attacco DoS, un metodo usato per impedire l’uso del servizio, simile per concezione a quelli che sono impiegati per bloccare Internet inondando di dati un server, solo che l’obiettivo è iMessage. Descrivono così la situazione vissuta nelle scorse ore alcuni sviluppatori americani che si sono trovati nell’impossibilità di usare il sistema di messaggistica di Mac OS in conseguenza di un attacco perpetrato nei loro confronti da qualche misterioso pirata che ha approfittato di alcuni limiti funzionali del sistema.
La vicenda sarebbe avvenuta nelle scorse ore quando sul loro account iMessagge gli sviluppatori, tra cui il ben noto iH8sn0w, uno dei protagonisti della scena del Jaibreak, avrebbero iniziato a ricevere ondate di messaggi che hanno letteralmente spazzato via la possibilità di usare il sistema. Anche se questi messaggi non erano finalizzati a mandare in crash iMessage, ma solo a sopraffarlo con un’infinita serie di stringhe di testo, si è trattato della dimostrazione di una debolezza, dicono gli sviluppatori, di iMessage. A The Next Web, che ha pubblicato la notizia, le vittime hanno dimostrato come sia facile creare uno script che manda messaggi in rapidissima sequenza, costringendo a ripulire costantemente la finestra della chat o a scorrere il testo fino a trovare i messaggi “veri”; questo avviene perché Apple non ha previsto un sistema per impedire messaggi ripetitivi né stabilisce un intervallo forzato tra un messaggio e l’altro. Bloccare questi messaggi è impossibile perché non c’è un’opzione per bloccare un utente, dicono gli sviluppatori.
Ma c’è di più e di peggio; potenzialmente un pirata potrebbe anche mandare in crash l’applicazione e costringere a complesse operazioni per riavviarla; basta mandare un messaggio formattato in maniera non standard oppure inviare un messaggio con Unicode troppo grande perché sia mostrato e a quel punto iMessage andrà in crash ogni volta che sarà aperto. Come se questo non bastasse, va ricordato che oggi gli account iMessage sono legati a un numero telefonico e chi conosce questo numero è in grado di portare a termine facilmente l’abuso; poiché non è possibile cambiare il proprio numero telefonico, un molestatore particolarmente determinato potrebbe rendere inservibile iMessage.
Anche se non siamo di fronte ad un bug di sicurezza, gli sviluppatori auspicano che Apple assuma qualche iniziativa per bloccare simili situazioni perché i loro effetti sono comunque preoccupanti. Cupertino potrebbe usare vari sistemi per bloccare sia sul lato client sia sul lato server abusi come quelli menzionati, tra cui un filtro antispam che potrebbe essere regolato dall’utente finale.
