Vídeo: 15 скрытых фишек Viber, о которых знают не все пользователи (De novembre 2024)
L’aplicació de missatgeria Viber ha anat acumulant un impuls a Google Play, però una nova explotació podria fer una pausa als usuaris. Fa uns dies, l’empresa de seguretat Bkav va anunciar que havia trobat una manera d’accedir completament als telèfons Android mitjançant la popular aplicació de missatgeria Viber.
A diferència del problema de pantalla de pantalla de Samsung del qual vam denunciar anteriorment, aquest atac no té cap tipus de treball fantàstic. En el seu lloc, només cal que siguin dos telèfons, tots dos amb Viber i un número de telèfon.
Aquí teniu el funcionament. El telèfon de la víctima està bloquejat, però té Viber instal·lat i configurat. El telèfon atacant envia un missatge a la víctima, que mostra una finestra d'alerta a la pantalla de bloqueig. Una de les característiques úniques de Viber és que podeu respondre fins i tot mentre el telèfon està bloquejat, i activar el teclat Viber és el següent pas en l'atac.
Un cop el teclat està actiu al telèfon de la víctima, l’atacant envia un altre missatge. Aquesta vegada, premeu el botó enrere del telèfon de la víctima i, de sobte, teniu accés complet al telèfon de la víctima.
Segons Bkav, el problema deriva de la manera en què Viber interactua amb la pantalla de bloqueig d’Android. El director de la divisió de seguretat de BKav, Nguyen Minh Duc, va explicar al lloc web de la companyia, "la manera en què Viber fa aparèixer els seus missatges a la pantalla de bloqueig dels telèfons intel·ligents és inusual, amb el que no es pot controlar la lògica de la programació, provocant el defecte."
Bkav escriu que han contactat amb Viber sobre el problema, però no han rebut resposta. Pel que fa a l'escriptura, el canal de Twitter i els comptes de Facebook de Viber han estat en silenci durant un dia.
Bkav té diversos vídeos sobre els exploit en acció al seu lloc web.
Què tan perillós és això?
Tot i que és impactant veure la pantalla de bloqueig d’Android tan fàcilment esquivada, la realitat és que aquesta explotació requereix dues coses que la majoria dels atacants no tenen. Primer, necessitarien accés físic al telèfon. Sense el telèfon, no importaria si estigués bloquejat o desbloquejat ja que l’atacant no podia fer res.
En segon lloc, un atacant hauria de tenir la informació de l'usuari de Viber per enviar-vos un missatge. Tot i que el telèfon us robava i l’atacant sabia d’alguna manera que sou un usuari de Viber, encara hauria d’enviar un missatge al vostre telèfon específic.
Aquests dos factors limiten molt el potencial d’atacadors, sense oblidar el fet que hi ha milions d’usuaris d’Android i només alguns utilitzen Viber. Com la majoria d’aquestes explotacions, representa poca amenaça per a la majoria dels usuaris.
Segons la meva opinió, el perill real és que els desenvolupadors de Viber, o bé, no sabien o no els importava que l'explotació existís a la seva aplicació, i segurament no estan sols en això. Tot i que és difícil tenir una garantia de qualitat total per a qualsevol aplicació, especialment per als desenvolupadors d’Android que tinguin en compte infinitat de variacions de maquinari i sistema operatiu, els desenvolupadors encara han de tenir en compte la seguretat quan emprenen les aplicacions.
Actualització:
Talmon Marco, el propietari de Viber, va escriure a la nostra secció de comentaris que la companyia està prenent aquestes preocupacions molt seriosament.
"En realitat ens preocupa aquest problema. Hem invertit recursos importants per assegurar-nos que el servei Viber és segur i estem força decebuts amb aquest error. Actualment estem investigant això i emetrem una correcció algun cop la setmana que ve (volem assegurar-nos que no es trenca res en el procés de corregir això)"
En una conversa per correu electrònic aquest matí, Marco va dir a SecurityWatch que un pegat estaria disponible al lloc web de Viber més tard avui. Una futura actualització mitjançant Google Play estarà disponible en pròximes dates.
Actualització 2:
Viber ens ha informat que l'APK pegat està disponible per a la seva descàrrega.