Video: Access Any Android Device Remotely Without Touching Phone (Cybersecurity) (Listopad 2024)
Aplikace Viber messaging na Google Play nabývá na síle, ale nové zneužití by mohlo uživatele pozastavit. Před několika dny bezpečnostní společnost Bkav oznámila, že našla způsob, jak získat plný přístup k telefonům se systémem Android pomocí populární aplikace pro zasílání zpráv Viber.
Na rozdíl od problému se zámkem od společnosti Samsung, který jsme ohlásili dříve, tento útok nezabírá žádnou fantastickou práci. Místo toho vše, co potřebuje, jsou dva telefony, oba spuštěné Viber a telefonní číslo.
Takto to funguje. Telefon oběti je uzamčen, ale má nainstalován a nastaven Viber. Telefon útočníka pošle oběti zprávu, která vyvolá varovné okno na obrazovce zámku. Jednou z jedinečných vlastností Viber je, že můžete reagovat i když je telefon uzamčen, a aktivace Viber klávesnice je dalším krokem v útoku.
Jakmile je klávesnice aktivní na telefonu oběti, útočník odešle další zprávu. Tentokrát stiskněte tlačítko Zpět na telefonu oběti a najednou máte plný přístup k telefonu oběti.
Podle Bkav tento problém pramení ze způsobu, jakým Viber spolupracuje se zámkovou obrazovkou Android. Ředitel divize bezpečnosti BKav Nguyen Minh Duc vysvětlil na webových stránkách společnosti: „Způsob, jakým Viber zvládne vyskakovat své zprávy na obrazovce zámku smartphonů, je neobvyklý, což má za následek jeho selhání v ovládání programovací logiky, což způsobuje vznik chyby.“
Bkav píše, že kontaktovali Viber ohledně problému, ale neobdrželi odpověď. Co se týče psaní, účty Twitter a Facebook účty pro Viber mlčely více než jeden den.
Bkav má na svých webových stránkách několik videí o zneužití v akci.
Jak je to nebezpečné?
I když je šokující vidět tak snadno obejít obrazovku zámku obrazovky, realitou je, že toto vykořisťování vyžaduje dvě věci, které většina útočníků nemá. Nejprve potřebují fyzický přístup k vašemu telefonu. Bez telefonu by nezáleželo na tom, zda byl uzamčen nebo odemčen, protože útočník nemohl nic udělat .
Za druhé, útočník by musel mít vaše uživatelské informace o Viber, aby vám poslal zprávu. I když byl váš telefon odcizen a útočník nějak věděl, že jste uživatel Viber, stále bude muset zaslat váš konkrétní telefon zprávu.
Tyto dva faktory značně omezují potenciální skupinu útočníků, nemluvě o skutečnosti, že existují miliony uživatelů Androidu a pouze někteří používají Viber. Stejně jako většina těchto zneužití představuje pro většinu uživatelů malou hrozbu.
Podle mého názoru je skutečným nebezpečím, že vývojáři Viber buď nevěděli, nebo se nestarali o to, že vykořisťování existuje v jejich aplikaci - a v tom určitě nejsou sami. Přestože je obtížné mít úplnou záruku kvality pro jakoukoli aplikaci, zejména pro vývojáře Android, kteří mají na zvážení nesčetné varianty hardwaru a operačního systému, vývojáři stále musí mít na paměti zabezpečení, když své aplikace vytlačí.
Aktualizace:
Talmon Marco, majitel společnosti Viber, v sekci pro komentáře napsal, že společnost bere tyto obavy velmi vážně.
"Ve skutečnosti se o tento problém staráme. Investovali jsme značné prostředky do zajištění, že služba Viber je bezpečná a že jsme touto chybou docela zklamáni. V současné době to zkoumáme a příští týden vydáme opravu (chceme zajistit, aby v procesu řešení tohoto problému nic neporušují). ““
V e-mailové konverzaci dnes ráno Marco řekl společnosti SecurityWatch, že oprava bude na webu Viber k dispozici později dnes. Úplná aktualizace prostřednictvím Google Play bude k dispozici v budoucnu.
Aktualizace 2:
Viber nás informoval, že oprava APK je k dispozici ke stažení.
