Video: 15 скрытых фишек Viber, о которых знают не все пользователи (Oktober 2024)
Aplikacija za pošiljanje sporočil Viber nabira vse več v Googlu Play, vendar bo nov izkoristek lahko uporabnikom zastavil. Še pred nekaj dnevi je varnostno podjetje Bkav objavilo, da je s pomočjo priljubljene aplikacije za sporočila Viber našlo pot do popolnega dostopa do telefonov Android.
Za razliko od Samsung-ove težave s ključavničnim zaslonom, o kateri smo poročali prej, ta napad ne prinaša nobenih premišljenih prstov. Namesto tega sta potrebna le dva telefona, oba delujeta Viber in telefonska številka.
Tukaj je, kako deluje. Telefon žrtve je zaklenjen, vendar ima Viber nameščen in nastavljen. Napadalčev telefon pošlje žrtvi sporočilo, v katerem se na ključavnici prikaže opozorilno okno. Ena od edinstvenih lastnosti Viberja je, da se lahko odzovete, tudi ko je telefon zaklenjen, in aktiviranje tipkovnice Viber je naslednji korak v napadu.
Ko je tipkovnica aktivna na telefonu žrtve, napadalec pošlje drugo sporočilo. Tokrat pritisnite gumb nazaj na telefonu žrtve in nenadoma imate popoln dostop do telefona žrtve.
Po besedah Bkava težava izvira iz načina, kako Viber deluje s ključavnico Android. Direktor oddelka za varnost družbe BKav Nguyen Minh Duc je na spletni strani družbe pojasnil, "način, kako Viber rokuje, da svoje sporočila na zaslon zaklene pametne telefone, je nenavaden, zaradi česar ne more nadzorovati programske logike, zaradi česar se pojavlja napaka."
Bkav piše, da so se o vprašanju obrnili na Viber, a odgovora niso prejeli. Kot že pišejo, o Twitterju in Facebookovih računih za Viber molčijo že več kot en dan.
Bkav ima na svojem spletnem mestu več video posnetkov izkoriščanja.
Kako nevarno je to?
Čeprav je šokantno videti, da je Android ključavnico tako enostavno zaobiti, je resničnost, da ta izkoriščanje zahteva dve stvari, ki jih večina napadalcev nima. Najprej bi potrebovali fizični dostop do vašega telefona. Brez telefona ne bi bilo pomembno, ali je bil zaklenjen ali odklenjen, saj napadalec ne bi mogel storiti ničesar.
Drugič, napadalec bi moral imeti vaše podatke o uporabniku Viber, da vam lahko pošlje sporočilo. Tudi če so vam ukradli telefon in je napadalec nekako vedel, da ste viber uporabnik, bi morali še vedno poslati sporočilo vašega določenega telefona.
Ta dva dejavnika močno omejujeta potencialni bazen napadalcev, da ne omenjam dejstva, da je na milijone uporabnikov Androida in le nekateri uporabljajo Viber. Kot večina teh izkoriščanja tudi za večino uporabnikov predstavlja majhno grožnjo.
Po mojem mnenju je resnična nevarnost v tem, da razvijalci Viber bodisi niso vedeli ali jim je bilo vseeno, da izkoriščanje obstaja v njihovi aplikaciji - in zagotovo niso sami v tem. Čeprav je težko zagotoviti popolno zagotavljanje kakovosti za katero koli aplikacijo, zlasti za razvijalce Android, ki imajo na razpolago nešteto različic strojne in operacijskega sistema, morajo razvijalci vseeno upoštevati varnost, ko svoje aplikacije potisnejo ven.
Nadgradnja:
Talmon Marco, lastnik Viberja, je v našem komentarju napisal, da podjetje te pomisleke jemlje zelo resno.
"Pravzaprav skrbimo za to težavo. Vložili smo veliko sredstev za zagotavljanje varne storitve Viber in smo zelo razočarani nad to napako. Trenutno to raziskujemo in bomo izdali popravek nekje naslednji teden (želimo se prepričati, da bomo v procesu popravljanja tega nič ne zlomijo."
Marco je danes zjutraj v e-poštnem pogovoru povedal SecurityWatchu, da bo obliž na voljo danes na spletni strani Viber. Popolna posodobitev v Googlu Play bo na voljo na prihodnji datum.
Posodobitev 2:
Viber nas je obvestil, da je za prenos na voljo zakrpani APK.
