Відео: КАК ПОЗВОНИТЬ ПО VIBER (Вересень 2024)
Додаток для обміну повідомленнями Viber набирає обертів у Google Play, але новий подвиг може дати користувачам зробити паузу. Лише кілька днів тому охоронна компанія Bkav оголосила, що знайшла спосіб отримати повний доступ до телефонів Android за допомогою популярного додатка для обміну повідомленнями Viber.
На відміну від проблеми з блокувальним екраном Samsung, про яку ми повідомляли раніше, ця атака не потребує фантазійних робіт. Натомість все, що потрібно - це два телефони, як працює Viber, так і номер телефону.
Ось як це працює. Телефон жертви заблокований, але на ньому встановлено та налаштовано Viber. Телефон зловмисника надсилає повідомлення потерпілому, яке відображає вікно попередження на блокувальному екрані. Однією з унікальних особливостей Viber є те, що ви можете реагувати навіть тоді, коли телефон заблокований, а активація клавіатури Viber - наступний крок в атаці.
Після активації клавіатури на телефоні жертви зловмисник надсилає інше повідомлення. Цього разу натисніть кнопку назад на телефоні жертви, і раптом у вас є повний доступ до телефону жертви.
За словами Бкава, проблема випливає з того, як Viber взаємодіє із блокувальним екраном Android. Директор відділу безпеки BKav Нгуєн Мінь Дюк пояснив на веб-сайті компанії "те, як Viber справляється зі спливом своїх повідомлень на заблокованому екрані смартфонів, є незвичним, що призводить до того, що він не контролює логіку програмування, що спричиняє появу недоліків".
Bkav пише, що вони зв’язалися з Viber з цього питання, але не отримали відповіді. Як писали, акаунти у Twitter та акаунти Facebook для Viber вже більше доби мовчать.
На своєму веб-сайті Bkav є кілька відеозаписів про експлуатування.
Наскільки це небезпечно?
Не дивлячись на те, що блокувальний екран Android настільки легко обійти, реальність полягає в тому, що цей подвиг вимагає двох речей, яких у більшості зловмисників немає. По-перше, їм знадобиться фізичний доступ до вашого телефону. Без вашого телефону було б неважливо, він був заблокований чи розблокований, оскільки зловмисник нічого не може зробити .
По-друге, зловмиснику потрібно мати вашу інформацію про користувача Viber, щоб надіслати вам повідомлення. Навіть якщо ваш телефон був вкрадений, а зловмисник якось знав, що ви користувач Viber, їм все одно потрібно буде надіслати ваше конкретне повідомлення.
Ці два фактори сильно обмежують потенційний пул зловмисників, не кажучи вже про те, що є мільйони користувачів Android, і лише деякі використовують Viber. Як і більшість цих подвигів, вона мало загрожує для більшості користувачів.
На мою думку, реальна небезпека тут полягає в тому, що розробники Viber або не знали, або не хвилювались, що експлуатація існує в їхньому додатку, і вони, безумовно, не самотні. Хоча складно забезпечити загальну якість якості для будь-якого додатка, особливо для розробників Android, які мають безліч варіантів апаратного забезпечення та операційної системи, розробникам все ж потрібно мати на увазі безпеку, коли вони виштовхують свої програми.
Оновлення:
В нашому розділі коментарів Талмон Марко, власник Viber, написав, що компанія ставиться до цих проблем дуже серйозно.
"Ми насправді _do_ піклуємося про цю проблему. Ми вклали значні ресурси, щоб забезпечити безпеку послуги Viber і сильно розчаровані в цій помилці. Зараз ми це досліджуємо, і випустимо виправлення десь на наступному тижні (ми хочемо переконатися, що ми нічого не ламають у процесі виправлення цього ")."
У розмові по електронній пошті сьогодні вранці Марко сказав SecurityWatch, що патч буде доступний на веб-сайті Viber пізніше сьогодні. Повне оновлення через Google Play буде доступне в майбутньому.
Оновлення 2:
Viber повідомив нам, що виправлений APK доступний для завантаження.
