Video: Access Any Android Device Remotely Without Touching Phone (Cybersecurity) (Septembra 2024)
Aplikácia správ Viber sa v službe Google Play naberá na intenzite, ale nové zneužitie môže používateľom spôsobiť pozastavenie. Pred niekoľkými dňami bezpečnostná spoločnosť Bkav oznámila, že našla spôsob, ako získať plný prístup k telefónom s Androidom pomocou populárnej aplikácie na zasielanie správ Viber.
Na rozdiel od problému s uzamknutou obrazovkou Samsung, ktorý sme nahlásili skôr, tento útok nezaberá nijako fantastický prst. Namiesto toho sú potrebné iba dva telefóny, ktoré používajú Viber a telefónne číslo.
Takto to funguje. Telefón obete je uzamknutý, ale má nainštalovaný a nastavený Viber. Útočiaci telefón pošle obeti správu, ktorá zobrazí varovné okno na uzamknutej obrazovke. Jednou z jedinečných vlastností Viber je, že môžete reagovať, aj keď je telefón uzamknutý, a aktivácia klávesnice Viber je ďalším krokom v útoku.
Keď je klávesnica na telefóne obete aktívna, útočník odošle ďalšiu správu. Tentoraz stlačte tlačidlo Späť na telefóne obete a zrazu máte plný prístup k telefónu obete.
Podľa Bkava tento problém pramení zo spôsobu, akým Viber spolupracuje s uzamykateľnou obrazovkou Android. Nguyen Minh Duc, riaditeľ bezpečnostnej divízie spoločnosti BKav, vysvetlil na webových stránkach spoločnosti: „Spôsob, akým Viber zvláda zobrazovať svoje správy na uzamknutej obrazovke smartfónov, je neobvyklý, čo má za následok zlyhanie v ovládaní programovacej logiky a spôsobenie chyby.“
Bkav píše, že kontaktovali Viber ohľadom problému, ale nedostali odpoveď. Ako sa píše, účty Twitter a Facebook účty pre Viber mlčali už viac ako deň.
Bkav má na svojich webových stránkach niekoľko videí o zneužití v akcii.
Aké nebezpečné to je?
Aj keď je šokujúce vidieť tak ľahko obísť uzamknutú obrazovku Android, realita je taká, že toto vykorisťovanie vyžaduje dve veci, ktoré väčšina útočníkov nemá. Najprv budú potrebovať fyzický prístup k vášmu telefónu. Bez telefónu by nezáležalo na tom, či bol uzamknutý alebo odomknutý, pretože útočník nemohol nič urobiť .
Po druhé, útočník by musel mať vaše používateľské informácie o Viber, aby vám mohol poslať správu. Aj keď bol váš telefón ukradnutý a útočník nejako vedel, že ste používateľom Viber, stále by museli poslať vášmu konkrétnemu telefónu správu.
Tieto dva faktory značne obmedzujú potenciálnu skupinu útočníkov, nehovoriac o skutočnosti, že existujú milióny používateľov systému Android a iba niektorí používajú systém Viber. Rovnako ako väčšina z nich využíva väčšinu používateľov.
Podľa môjho názoru je tu skutočné nebezpečenstvo, že vývojári Viber buď nevedeli, alebo sa nestarali o to, že v ich aplikácii existuje vykorisťovanie - a v tom určite nie sú sami. Aj keď je ťažké mať úplnú záruku kvality pre každú aplikáciu, najmä pre vývojárov systému Android, ktorí majú na zváženie nespočetné množstvo variácií hardvéru a operačného systému, vývojári stále musia mať na pamäti bezpečnosť, keď tlačia svoje aplikácie.
aktualizácia:
Talmon Marco, majiteľ spoločnosti Viber, v časti venovanej komentárom uviedol, že spoločnosť berie tieto obavy veľmi vážne.
„V skutočnosti sa o tento problém staráme. Investovali sme značné prostriedky do zabezpečenia, že služba Viber je bezpečná a s touto chybou sme dosť sklamaní. Momentálne to skúmame a opravu vyriešime niekedy budúci týždeň (chceme zabezpečiť, aby sme nič neporušujú v procese opravy tohto problému. ““
V e-mailovej konverzácii dnes ráno Marco povedal spoločnosti SecurityWatch, že oprava bude dnes k dispozícii na webovej stránke Viber. Úplná aktualizácia prostredníctvom služby Google Play bude k dispozícii v budúcnosti.
Aktualizácia 2:
Viber nás informoval, že opravený súbor APK je k dispozícii na stiahnutie.
