Video: СРОЧНО Удали Этот ВИРУС на своем АНДРОИД Телефоне!! (Oktober 2024)
Viber-meldingsappen har samlet fart på Google Play, men en ny utnyttelse kan gi brukere pause. For bare noen dager siden kunngjorde sikkerhetsselskapet Bkav at det har funnet en måte å få full tilgang til Android-telefoner ved å bruke den populære Viber-meldingsappen.
I motsetning til Samsung-låseskjermen problemet vi rapporterte om tidligere, tar ikke dette angrepet noe fancy fingerarbeid. I stedet er alt det trenger to telefoner, begge kjører Viber, og et telefonnummer.
Slik fungerer det. Offertelefonen er låst, men den har Viber installert og satt opp. Angripertelefonen sender en melding til offeret, som bringer opp et varselvindu på låseskjermen. En av de unike egenskapene til Viber er at du kan svare selv mens telefonen er låst, og å aktivere Viber-tastaturet er neste trinn i angrepet.
Når tastaturet er aktivt på offertelefonen, sender angriperen en annen melding. Denne gangen trykker du på ryggeknappen på offertelefonen, og plutselig har du full tilgang til offertelefonen.
I følge Bkav stammer problemet fra måten Viber samhandler med Android-låseskjermen. BKavs sikkerhetsdivisjonsdirektør Nguyen Minh Duc forklarte på selskapets nettsted, "måten Viber håndterer for å popup sine meldinger på smarttelefonens låseskjerm er uvanlig, noe som resulterer i at det ikke lykkes å kontrollere programmeringslogikken, noe som får feilen til å vises."
Bkav skriver at de har kontaktet Viber om saken, men ikke har fått svar. Fra skriving av har Twitter-feeden og Facebook-kontoene til Viber vært tause i over en dag.
Bkav har flere videoer av utnyttelsen i aksjon på nettstedet deres.
Hvor farlig er dette?
Selv om det er sjokkerende å se Android-låseskjermen så lett omgås, er realiteten at denne utnyttelsen gjenvinner to ting som de fleste angripere ikke har. Først vil de trenge fysisk tilgang til telefonen din. Uten telefonen din ville det ikke ha noe å si om den var låst eller låst opp siden angriperen ikke kunne gjøre noe.
For det andre må en angriper ha din Viber-brukerinformasjon for å sende deg en melding. Selv om telefonen din ble stjålet og angriperen på en eller annen måte visste at du var en Viber-bruker, vil de fortsatt måtte sende en spesifikk telefon til deg.
Disse to faktorene begrenser i stor grad den potensielle puljen av angripere, for ikke å nevne det faktum at det er millioner av Android-brukere og bare noen bruker Viber. Som de fleste av disse utnyttelsene utgjør den liten trussel for de fleste brukere.
Etter min mening er den virkelige faren her at Viber-utviklerne enten ikke visste eller ikke brydde seg om at utnyttelsen fantes i appen deres - og de er sikkert ikke alene om dette. Selv om det er vanskelig å ha fullstendig kvalitetssikring for noen app, spesielt for Android-utviklere som har mange varianter av maskinvare og operativsystem å ta i betraktning, må utviklere fortsatt huske sikkerhet når de skyver appene sine ut.
Oppdater:
Talmon Marco, eieren av Viber, skrev i kommentarfeltet at selskapet tar disse bekymringene veldig alvorlig.
"Vi faktisk bryr oss om dette problemet. Vi har investert betydelige ressurser i å sørge for at Viber-tjenesten er sikker og er ganske skuffet over denne feilen. Vi for tiden forsker på dette og vil utstede en løsning en gang i løpet av neste uke (vi vil sørge for at vi bryter ikke noe i ferd med å fikse dette)."
I en e-postsamtale i morges fortalte Marco SecurityWatch at en oppdatering vil være tilgjengelig på Viber-nettstedet senere i dag. En full oppdatering gjennom Google Play vil være tilgjengelig på et fremtidig tidspunkt.
Oppdatering 2:
Viber har informert oss om at den lappede APK er tilgjengelig for nedlasting.
