Ainsi quelques développeurs auraient vu leurs comptes iMessage véritablement bombardés de messages venant d’une personne se présentant comme faisant partie du groupe Anonymous.
L’attaque telle qu’elle est actuellement décrite se baserait sur l’utilisation d’un Applescript pour automatiser l’envoi de multiples messages de façon presque simultanée depuis un client opérant sous Mac OS.
Dans le cadre de l’attaque visant Grant Paul, les attaques ont débuté avec l’envoi de multiples messages constitués d'un ensemble de caractères unicode, allant jusqu’à bloquer totalement sa messagerie.
The iMessage spammer has now completely locked me out of my iOS Messages app, by sending long strings of Unicode chars. Definitely a DoS.
— Grant Paul (chpwn) (@chpwn) 29 mars 2013
Puisque iMessage peut etre lié à une adresse email, il apparait finalement assez simple pour quiconque de repérer une cible et de se lancer dans ce type de spam.
Ce type d’attaque s’apparente à une attaque de type DDos, néanmoins elle ne permet pas de faire crasher l’application, mais entraine de sévères ralentissements et/ou un blocage de la messagerie tant que les messages sont récupérés par le serveur.
Elle aurait actuellement touché une demi-douzaine de développeurs sous iOS, et quelques membres de la communauté de hackers.
Après une rapide enquête, des liens ont été trouvés entre les cibles et un compte Twitter revendant des UDID. Parmi les victimes, on notera iH8sn0w qui a partagé quelques clichés de sa boite de réception et a indiqué avoir immédiatement désactivé sa messagerie et étudié la façon dont le spam avait été réalisé.
Apple pourrait avoir eu vent de ces abus et pourrait prochainement mettre en place une liste noire antispam. Malheureusement il n’est actuellement pas possible de bloquer un expéditeur spécifique utilisant iMessage, et il y a fort à parier que l’outil ayant servi à cette première vague d’attaques soit plus largement distribué sur la toile dans les jours à venir.
Aussi, la seule parade actuelle pour prévenir ce type de désagrément reste la désactivation du service.