Видео: КАК ПОЗВОНИТЬ ПО VIBER (Октября 2024)
Приложение обмена сообщениями Viber набирает обороты в Google Play, но новый эксплойт может дать пользователям паузу. Всего несколько дней назад охранная компания Bkav объявила, что нашла способ получить полный доступ к телефонам Android с помощью популярного приложения обмена сообщениями Viber.
В отличие от проблемы блокировки экрана Samsung, о которой мы сообщали ранее, эта атака не требует каких-либо сложностей. Вместо этого все, что ему нужно, - это два телефона, оба с Viber, и номер телефона.
Вот как это работает. Телефон жертвы заблокирован, но Viber установлен и настроен. Злоумышленник отправляет сообщение жертве, в результате чего на экране блокировки появляется окно предупреждения. Одной из уникальных особенностей Viber является то, что вы можете отвечать, даже когда телефон заблокирован, и активация клавиатуры Viber является следующим шагом в атаке.
Как только клавиатура активна на телефоне жертвы, злоумышленник отправляет другое сообщение. На этот раз нажмите кнопку «Назад» на телефоне жертвы, и внезапно вы получите полный доступ к телефону жертвы.
По словам Бкава, проблема связана с тем, как Viber взаимодействует с экраном блокировки Android. Директор подразделения безопасности BKav Нгуен Минь Дук объяснил на веб-сайте компании: «То, как Viber обрабатывает всплывающие сообщения на экране блокировки смартфонов, необычно, что приводит к тому, что он не контролирует логику программирования, что приводит к появлению ошибки».
Бкав пишет, что они связались с Viber по поводу проблемы, но не получили ответа. На момент написания статьи канал Twitter и Facebook для Viber молчали более суток.
У Bkav есть несколько видео об эксплойте в действии на их сайте.
Насколько это опасно?
Несмотря на то, что шокирующий вид экрана блокировки Android так легко обойти, реальность такова, что этот эксплойт требует двух вещей, которых нет у большинства злоумышленников. Во-первых, им нужен физический доступ к вашему телефону. Без вашего телефона не имело бы значения, был ли он заблокирован или разблокирован, так как злоумышленник ничего не мог сделать .
Во-вторых, злоумышленнику потребуется информация о пользователе Viber, чтобы отправить вам сообщение. Даже если ваш телефон был украден, и злоумышленник каким-то образом знал, что вы являетесь пользователем Viber, ему все равно нужно будет отправить на ваш конкретный телефон сообщение.
Эти два фактора сильно ограничивают потенциальный пул злоумышленников, не говоря уже о том, что миллионы пользователей Android и только некоторые используют Viber. Как и большинство из этих эксплойтов, он представляет небольшую угрозу для большинства пользователей.
На мой взгляд, реальная опасность заключается в том, что разработчики Viber либо не знали, либо не заботились о том, что эксплойт существует в их приложении, и они, конечно, не одиноки в этом. Несмотря на то, что сложно обеспечить полную гарантию качества для любого приложения, особенно для разработчиков Android, которым необходимо учитывать множество вариантов аппаратного обеспечения и операционной системы, разработчикам по-прежнему необходимо помнить о безопасности, когда они выпускают свои приложения.
Обновить:
Талмон Марко, владелец Viber, написал в нашем разделе комментариев, что компания очень серьезно относится к этим проблемам.
«Мы действительно заботимся об этой проблеме. Мы вложили значительные ресурсы в обеспечение безопасности службы Viber и очень разочарованы этой ошибкой. В настоящее время мы изучаем эту проблему и выпустим исправление где-то на следующей неделе (мы хотим убедиться, что мы ничего не ломая в процессе исправления этого)."
Сегодня утром Марко сказал по электронной почте SecurityWatch, что патч будет доступен на веб-сайте Viber позже сегодня. Полное обновление через Google Play будет доступно в будущем.
Обновление 2:
Viber сообщил нам, что исправленный APK доступен для скачивания.
