Video: Exploiting Viber to bypass lock screen of Google Nexus 4 (Oktober 2024)
Viber-messaging-appen har samlet fart i Google Play, men en ny udnyttelse kan give brugerne pause. For kun få dage siden meddelte sikkerhedsfirmaet Bkav, at det har fundet en måde at få fuld adgang til Android-telefoner ved hjælp af den populære Viber-messaging-app.
I modsætning til det Samsung låseskærmspørgsmål, vi rapporterede om tidligere, tager dette angreb ikke noget fint fingerarbejde. I stedet for er det kun to telefoner, der begge kører Viber, og et telefonnummer.
Sådan fungerer det. Offertelefonen er låst, men den har Viber installeret og konfigureret. Angribenttelefonen sender en besked til offeret, der åbner et alarmvindue på låseskærmen. En af de unikke træk ved Viber er, at du kan svare, selv mens telefonen er låst, og aktivering af Viber-tastaturet er det næste trin i angrebet.
Når tastaturet er aktivt på offertelefonen, sender angriberen en ny besked. Denne gang skal du trykke på tilbage-knappen på offeretelefonen, og pludselig har du fuld adgang til offertelefonen.
Ifølge Bkav stammer problemet fra den måde, Viber interagerer med Android-låseskærmen. BKavs sikkerhedsafdelingsdirektør Nguyen Minh Duc forklarede på selskabets hjemmeside, "den måde, Viber håndterer for at sprede sine meddelelser på smartphones 'låseskærm, er usædvanlig, hvilket resulterer i, at det ikke kontrollerer programmeringslogik, hvilket får fejlen til at vises."
Bkav skriver, at de har kontaktet Viber om problemet, men ikke har modtaget et svar. Fra skrivende stund har Twitter-feeden og Facebook-kontiene for Viber været tavse i over en dag.
Bkav har flere videoer af udnyttelsen i aktion på deres websted.
Hvor farlig er dette?
Selvom det er chokerende at se Android-låseskærmen så let omgås, er virkeligheden, at denne udnyttelse erobrer to ting, som de fleste angribere ikke har. Først har de brug for fysisk adgang til din telefon. Uden din telefon ville det ikke gøre noget, hvis den var låst eller låst op, da angriberen ikke kunne gøre noget.
For det andet skulle en angriber have dine Viber-brugeroplysninger for at sende dig en besked. Selv hvis din telefon blev stjålet, og angriberen på en eller anden måde vidste, at du var en Viber-bruger, er de stadig nødt til at sende din specifikke telefon en besked.
Disse to faktorer begrænser i høj grad den potentielle pool af angribere, for ikke at nævne det faktum, at der er millioner af Android-brugere og kun nogle bruger Viber. Ligesom de fleste af disse udnyttelser udgør den lille trussel for de fleste brugere.
Efter min mening er den reelle fare her, at Viber-udviklerne enten ikke vidste eller ikke var interesserede i, at udnyttelsen fandtes i deres app - og de er bestemt ikke alene om dette. Selvom det er vanskeligt at have total kvalitetssikring for en app, især for Android-udviklere, der har utal af hardware- og operativsystemvariationer at overveje, er udviklere stadig nødt til at holde sikkerheden i tankerne, når de skubber deres apps ud.
Opdatering:
Talmon Marco, ejeren af Viber, skrev i vores kommentarsektion, at virksomheden tager disse bekymringer meget alvorligt.
"Vi er faktisk ligeglade med dette problem. Vi har investeret betydelige ressourcer i at sikre, at Viber-tjenesten er sikker og er ganske skuffet over denne fejl. Vi undersøger i øjeblikket dette og vil udstede en løsning engang i næste uge (vi vil sikre os, at vi bryder ikke noget i processen med at løse dette)."
I en e-mail-samtale i morges fortalte Marco SecurityWatch, at en patch ville være tilgængelig på Viber-webstedet senere i dag. En fuld opdatering gennem Google Play vil være tilgængelig på en fremtidig dato.
Opdatering 2:
Viber har informeret os om, at den patchede APK er tilgængelig til download.
