Video: Miten SINUN puhelin voidaan HAKKEROIDA (Lokakuu 2024)
Viber-viestisovellus on saanut vauhtia Google Playssa, mutta uusi hyödyntäminen saattaa antaa käyttäjille taukoa. Vain muutama päivä sitten turvallisuusyritys Bkav ilmoitti löytäneensä tavan saada täydet käyttöoikeudet Android-puhelimiin suositun Viber-viestisovelluksen avulla.
Toisin kuin Samsungin lukitusnäyttöongelma, josta ilmoitimme aikaisemmin, tämä hyökkäys ei vie hienoa sormenpäätä. Sen sijaan kaikki, mitä se tarvitsee, on kaksi puhelinta, molemmat käynnissä Viber, ja puhelinnumero.
Näin se toimii. Uhrin puhelin on lukittu, mutta Viber on asennettu ja asennettu. Hyökkääjän puhelin lähettää uhrille viestin, joka tuo esiin varoitusikkunan lukitusnäytössä. Yksi Viberin ainutlaatuisista ominaisuuksista on, että voit vastata myös puhelimen ollessa lukittuna. Viber-näppäimistön aktivointi on seuraava askel hyökkäyksessä.
Kun näppäimistö on aktiivinen uhrin puhelimessa, hyökkääjä lähettää uuden viestin. Tällä kertaa paina uhrin puhelimen takaisin-painiketta ja yhtäkkiä sinulla on täysi pääsy uhrin puhelimeen.
Bkavin mukaan ongelma johtuu siitä, miten Viber toimii vuorovaikutuksessa Android-lukitusnäytön kanssa. BKav: n turvallisuusosaston johtaja Nguyen Minh Duc selitti yrityksen verkkosivustolla "tapa, jolla Viber käsittelee viestien ponnahdusikkunoita älypuhelimien lukitusnäytöllä, on epätavallista, mikä johtaa siihen, että ohjelmointilogiikkaa ei voida hallita, mikä aiheuttaa virheen."
Bkav kirjoittaa, että he ovat ottaneet yhteyttä Viberiin asiasta, mutta eivät ole saaneet vastausta. Kirjoittamisen jälkeen Viberin Twitter-syöte ja Facebook-tilit ovat olleet hiljaa yli päivän.
Bkavin verkkosivuilla on useita videoita hyväksikäytöstä toiminnassa.
Kuinka vaarallinen tämä on?
Vaikka on järkyttävää nähdä Android-lukitusnäyttö niin helposti kierrettävänä, tosiasia on, että tämä hyväksikäyttö vaatii kahta asiaa, joita useimmilla hyökkääjillä ei ole. Ensinnäkin he tarvitsevat fyysisen pääsyn puhelimeesi. Ilman puhelinta ei ole väliä, onko se lukittu vai lukittu, koska hyökkääjä ei voinut tehdä mitään.
Toiseksi hyökkääjällä on oltava Viber-käyttäjän tietosi, jotta voit lähettää sinulle viestin. Vaikka puhelimesi varastaisi ja hyökkääjä tietäisi jotenkin olevan Viber-käyttäjä, heidän on silti lähetettävä viestisi puhelimellesi.
Nämä kaksi tekijää rajoittavat suuresti hyökkääjien potentiaalia, puhumattakaan siitä, että Android-käyttäjiä on miljoonia ja vain jotkut käyttävät Viberiä. Kuten suurin osa näistä hyväksikäytöistä, se aiheuttaa vähäisen uhan useimmille käyttäjille.
Mielestäni todellinen vaara tässä on, että Viber-kehittäjät joko eivät tienneet tai eivät välittäneet siitä, että hyväksikäyttö oli heidän sovelluksessaan - ja he eivät varmasti ole yksin tässä. Vaikka minkä tahansa sovelluksen täydellinen laadunvarmistus on vaikeaa, etenkin Android-kehittäjille, joilla on lukemattomia laitteisto- ja käyttöjärjestelmän muunnelmia, kehittäjien on silti pidettävä tietoturva mielessä, kun ne työntävät sovelluksensa pois.
Päivittää:
Viberin omistaja Talmon Marco kirjoitti kommenttiosassa, että yritys suhtautuu näihin huolenaiheisiin erittäin vakavasti.
"Me todella välitämme tästä asiasta. Olemme investoineet huomattavia resursseja varmistaaksemme Viber-palvelun turvallisuuden ja olemme melko pettyneitä tähän virheeseen. Tutkimme tätä parhaillaan ja julkaisemme korjauksen joskus ensi viikolla (haluamme varmistaa, että eivät riko mitään korjaamalla tätä) ".
Marco kertoi tänä aamuna sähköpostikeskusteluissaan SecurityWatchille, että korjaustiedosto on saatavana Viber-verkkosivustolla myöhemmin tänään. Täysi päivitys Google Playn kautta on saatavana tulevaisuudessa.
Päivitys 2:
Viber on ilmoittanut meille, että patched APK on ladattavissa.
