Video: Cele mai noi metode prin care hackerii pot compromite telefoanele inteligente, Android sau iPhone (Noiembrie 2024)
Aplicația de mesagerie Viber a acumulat impuls pe Google Play, dar o nouă exploatare poate oferi utilizatorilor o pauză. În urmă cu doar câteva zile, compania de securitate Bkav a anunțat că a găsit o modalitate de a obține acces complet la telefoanele Android, folosind aplicația populară de mesagerie Viber.
Spre deosebire de problema de blocare a ecranului Samsung despre care am raportat mai devreme, acest atac nu ia nicio lucrare de deget. În schimb, tot ce are nevoie este de două telefoane, ambele care rulează Viber și un număr de telefon.
Iată cum funcționează. Telefonul victimei este blocat, dar are instalat și configurat Viber. Telefonul atacator trimite un mesaj victimei, care afișează o fereastră de alertă pe ecranul de blocare. Una dintre caracteristicile unice ale Viber este că poți să răspunzi chiar dacă telefonul este blocat, iar activarea tastaturii Viber este următorul pas în atac.
Odată ce tastatura este activă pe telefonul victimei, atacatorul trimite un alt mesaj. De data aceasta, apăsați butonul din spate pe telefonul victimei și, dintr-o dată, aveți acces complet la telefonul victimei.
Potrivit lui Bkav, problema provine din modul în care Viber interacționează cu ecranul de blocare Android. Directorul diviziei de securitate BKav, Nguyen Minh Duc, a explicat pe site-ul companiei „modul în care Viber se ocupă să-și deschidă mesajele de pe ecranul de blocare al smartphone-urilor este neobișnuit, ceea ce duce la eșecul său de a controla logica de programare, ceea ce a determinat apariția defectului”.
Bkav scrie că au contactat Viber despre această problemă, dar nu au primit niciun răspuns. În ceea ce scrie, feed-ul Twitter și conturile Facebook pentru Viber au tăcut de peste o zi.
Bkav are mai multe videoclipuri despre exploit în acțiune pe site-ul lor web.
Cât de periculos este acesta?
Deși este șocant să vezi ecranul de blocare Android atât de ușor evitat, realitatea este că acest exploit necesită două lucruri pe care majoritatea atacatorilor nu le au. În primul rând, vor avea nevoie de acces fizic la telefon. Fără telefonul dvs., nu ar conta dacă ar fi fost blocat sau deblocat, deoarece atacatorul nu ar putea face nimic.
În al doilea rând, un atacator ar trebui să aibă informațiile despre utilizatorul Viber pentru a vă trimite un mesaj. Chiar dacă telefonul ți-a fost furat și atacatorul știa cumva că ești un utilizator Viber, va trebui totuși să-ți trimită un telefon specific.
Acești doi factori limitează foarte mult potențialul grup de atacatori, ca să nu mai vorbim de faptul că există milioane de utilizatori Android și doar unii folosesc Viber. Ca majoritatea acestor exploatări, aceasta reprezintă o amenințare mică pentru majoritatea utilizatorilor.
În opinia mea, adevăratul pericol este faptul că dezvoltatorii Viber fie nu știau, fie nu le pasă că exploitarea există în aplicația lor - și cu siguranță nu sunt singuri în acest sens. Deși este dificil să ai o asigurare totală a calității pentru orice aplicație, în special pentru dezvoltatorii Android, care au o mulțime de variante de hardware și sistem de operare de luat în considerare, dezvoltatorii trebuie să țină cont de securitate atunci când își alungă aplicațiile.
Actualizați:
Talmon Marco, proprietarul Viber, a scris în secțiunea noastră de comentarii că compania ia aceste preocupări foarte în serios.
"De fapt, ne interesează această problemă. Am investit resurse semnificative pentru a ne asigura că serviciul Viber este sigur și suntem destul de dezamăgiți de acest bug. În prezent cercetăm acest lucru și vom emite o soluție cândva săptămâna viitoare (vrem să ne asigurăm că nu rup nimic în procesul de remediere a acestui lucru)."
Într-o conversație prin e-mail în această dimineață, Marco a declarat pentru SecurityWatch că un patch va fi disponibil pe site-ul Viber mai târziu astăzi. O actualizare completă prin Google Play va fi disponibilă la o dată viitoare.
Actualizare 2:
Viber ne-a informat că APK-ul patched este disponibil pentru descărcare.