Video: 15 скрытых фишек Viber, о которых знают не все пользователи (September 2024)
Viber-meddelanden-appen har tagit fart på Google Play, men en ny exploit kan ge användare paus. För bara några dagar sedan meddelade säkerhetsföretaget Bkav att det har hittat ett sätt att få full tillgång till Android-telefoner med den populära Viber-meddelanden-appen.
Till skillnad från Samsung-låsskärmfrågan som vi rapporterade om tidigare, tar inte denna attack något fint fingerarbete. Istället är det bara två telefoner, som kör Viber, och ett telefonnummer.
Så här fungerar det. Offertelefonen är låst, men Viber har installerat och konfigurerat. Angripartelefonen skickar ett meddelande till offret, som visar ett varningsfönster på låsskärmen. En av de unika funktionerna i Viber är att du kan svara även när telefonen är låst, och att aktivera Viber-tangentbordet är nästa steg i attacken.
När tangentbordet är aktivt på offertelefonen skickar angriparen ett nytt meddelande. Den här gången, tryck på bakåtknappen på offretelefonen, och plötsligt har du full åtkomst till offretelefonen.
Enligt Bkav beror frågan på hur Viber interagerar med Android-låsskärmen. BKavs säkerhetsavdelningschef Nguyen Minh Duc förklarade på företagets webbplats, "hur Viber hanterar för att popup-föra sina meddelanden på smartphones 'låsskärm är ovanligt, vilket resulterar i att det inte lyckats kontrollera programmeringslogik, vilket orsakar bristen att dyka upp."
Bkav skriver att de har kontaktat Viber om frågan, men har inte fått något svar. Från skrivandet har Twitter-flödet och Facebook-kontona för Viber tyst i över en dag.
Bkav har flera videor av exploaten i aktion på sin webbplats.
Hur farligt är detta?
Även om det är chockerande att se Android-låsskärmen så lätt kringgås, är verkligheten att denna exploit återvinner två saker som de flesta angripare inte har. Först skulle de behöva fysisk åtkomst till din telefon. Utan din telefon spelade det ingen roll om den var låst eller låst upp eftersom angriparen inte kunde göra någonting.
För det andra skulle en angripare behöva ha din Viber-användarinformation för att skicka ett meddelande. Även om din telefon var stulen och angriparen på något sätt visste att du var en Viber-användare, skulle de fortfarande behöva skicka din specifika telefon ett meddelande.
Dessa två faktorer begränsar i hög grad den potentiella poolen av angripare, för att inte tala om det faktum att det finns miljoner Android-användare och bara vissa använder Viber. Liksom de flesta av dessa exploater utgör det litet hot för de flesta användare.
Enligt min mening är den verkliga faran här att Viber-utvecklarna antingen inte visste eller inte brydde sig om att utnyttjandet fanns i deras app - och de är säkert inte ensamma om detta. Även om det är svårt att ha total kvalitetssäkring för någon app, särskilt för Android-utvecklare som har många olika hårdvaru- och operativsystemvarianter att tänka på, måste utvecklare fortfarande ha säkerhet i åtanke när de skjuter ut sina appar.
Uppdatering:
Talmon Marco, ägaren av Viber, skrev i vårt kommentaravsnitt att företaget tar dessa problem mycket på allvar.
"Vi är faktiskt inte intresserade av det här problemet. Vi har investerat betydande resurser för att se till att Viber-tjänsten är säker och är ganska besviken över det här felet. Vi undersöker för närvarande detta och kommer att utfärda en fix någon gång nästa vecka (vi vill se till att vi bryter inte någonting i processen att fixa detta)."
I en e-postkonversation i morse berättade Marco för SecurityWatch att en patch skulle finnas tillgänglig på Viber-webbplatsen senare idag. En fullständig uppdatering via Google Play kommer att finnas tillgängligt vid ett framtida datum.
Uppdatering 2:
Viber har informerat oss om att den korrigerade APK är tillgänglig för nedladdning.
