Видео: eXploit X : "Give Me Root" - Computerphile (Септември 2024)
Приложението за съобщения Viber набира скорост в Google Play, но нов експлоатация може да даде на потребителите пауза. Само преди няколко дни охранителната компания Bkav обяви, че е намерила начин да получи пълен достъп до телефони с Android, като използва популярното приложение за съобщения Viber.
За разлика от проблема със заключения екран на Samsung, за който съобщавахме по-рано, тази атака не се занимава с фантазия. Вместо това всичко, от което се нуждае, са два телефона, както работещ Viber, така и телефонен номер.
Ето как работи. Телефонът на жертвата е заключен, но има инсталиран и настроен Viber. Телефонът на нападателя изпраща съобщение до жертвата, което извежда предупредителен прозорец на заключения екран. Една от уникалните характеристики на Viber е, че можете да реагирате дори докато телефонът е заключен, а активирането на клавиатурата Viber е следващата стъпка в атаката.
След като клавиатурата е активна на телефона на жертвата, нападателят изпраща друго съобщение. Този път натиснете бутона за връщане на телефона на жертвата и изведнъж имате пълен достъп до телефона на жертвата.
Според Bkav проблемът произтича от начина, по който Viber взаимодейства със заключения екран на Android. Директорът на отдела за сигурност на BKav Nguyen Minh Duc обясни на уебсайта на компанията, „начинът, по който Viber се справя с изскачането на своите съобщения на заключения екран на смартфоните, е необичаен, което води до неуспеха му да контролира логиката на програмиране, което води до появата на недостатъка“.
Bkav пише, че са се свързали с Viber по въпроса, но не са получили отговор. Докато пишеше, акаунти в Twitter и Facebook акаунти за Viber мълчат повече от ден.
Bkav има няколко видеоклипа на експлоатацията в действие на своя уебсайт.
Колко опасно е това?
Въпреки че е шокиращо да виждам, че заключващият екран на Android толкова лесно се заобикаля, реалността е, че този подвиг изисква две неща, които повечето нападатели нямат. Първо, те ще се нуждаят от физически достъп до телефона ви. Без телефона ви няма значение дали е заключен или отключен, тъй като нападателят не може да направи нищо.
Второ, един нападател ще трябва да има вашата потребителска информация за Viber, за да ви изпрати съобщение. Дори телефонът ви да бъде откраднат и нападателят някак да е разбрал, че сте потребител на Viber, те все пак ще трябва да изпратят съобщението на вашия конкретен телефон.
Тези два фактора силно ограничават потенциалния пул от нападатели, да не говорим за факта, че има милиони потребители на Android и само някои използват Viber. Подобно на повечето от тези експлоатации, той представлява малка заплаха за повечето потребители.
Според мен истинската опасност тук е, че разработчиците на Viber или не знаеха, или не им пукаше, че експлоатацията съществува в приложението им - и със сигурност не са сами в това. Макар че е трудно да има пълна гаранция за качество за всяко приложение, особено за разработчиците на Android, които имат предвид безброй варианти на хардуер и операционна система, разработчиците все още трябва да имат предвид сигурността, когато избутват своите приложения.
Update:
Talmon Marco, собственикът на Viber, написа в нашия раздел за коментари, че компанията приема тези опасения много сериозно.
"Ние всъщност се грижим за този проблем. Ние инвестирахме значителни ресурси, за да гарантираме, че услугата Viber е сигурна и сме доста разочаровани от тази грешка. В момента проучваме това и ще издадем поправка някъде следващата седмица (искаме да се уверим, че не разбиват нищо в процеса на поправяне на това)."
В разговор по имейл тази сутрин Марко каза на SecurityWatch, че по-късно днес ще бъде наличен пластир на уебсайта на Viber. Пълна актуализация чрез Google Play ще бъде налична на бъдеща дата.
Актуализация 2:
Viber ни информира, че закърпеният APK е наличен за изтегляне.
