Videó: Как Отключить Слежку за Телефоном. Как Viber собирает данные местоположения, аналитику и следит. (November 2024)
A Viber üzenetküldő alkalmazás lendületet kapott a Google Playen, de egy új kihasználás szünetet okozhat a felhasználók számára. Néhány nappal ezelőtt a Bkav biztonsági társaság bejelentette, hogy megtalálta a módját, hogy teljes hozzáférést kapjon az Android telefonokhoz a népszerű Viber üzenetküldő alkalmazás segítségével.
A korábban beszámolt Samsung zárolási képernyő kérdéssel ellentétben ez a támadás nem igényel ujjlenyomatot. Ehelyett csak két telefonra van szüksége, mindkettő Viber-et futtat, és egy telefonszámra.
Így működik. Az áldozat telefonja le van zárva, de a Viber telepítve van és beállítva. A támadó telefon üzenetet küld az áldozatnak, amely riasztási ablakot nyit a képernyőn. A Viber egyedülálló tulajdonsága, hogy akkor is reagálhat, ha a telefon le van zárva, és a Viber billentyűzetének aktiválása a támadás következő lépése.
Amint a billentyűzet aktív az áldozat telefonján, a támadó újabb üzenetet küld. Ezúttal nyomja meg az áldozat telefonjának vissza gombját, és hirtelen teljes hozzáféréssel rendelkezik az áldozat telefonjához.
Bkav szerint a kérdés abból fakad, hogy a Viber hogyan működik együtt az Android zár képernyőjével. Nguyen Minh Duc, a BKav biztonsági részlegének igazgatója elmondta a cég weboldalán: "A Viber az a módja, hogy üzeneteit az okostelefonok lezárási képernyőjén felbukkanja, szokatlan, ami a programozási logika irányításának elmulasztását eredményezi, és a hiba megjelenik."
Bkav azt írja, hogy kapcsolatba léptek a Viberrel a kérdéssel kapcsolatban, de nem kaptak választ. Az írástól kezdve a Viber Twitter-hírcsatornája és a Facebook-fiókjai már több mint egy napja hallgatottak.
A Bkav webhelyén számos videó található az akcióról.
Mennyire veszélyes ez?
Bár megdöbbentő látni, hogy az Android zár képernyőjét ilyen könnyen megkerülhetik, a valóság az, hogy ez a kihasználás két dolgot igényel, amelyeknek a legtöbb támadó nincs. Először fizikai hozzáférésre van szükségük a telefonjához. Telefonja nélkül nem számít, hogy le van-e zárva vagy ki van-e zárva, mivel a támadó nem tudott semmit csinálni .
Másodszor, a támadónak rendelkeznie kell a Viber felhasználói adatokkal, hogy üzenetet küldhessen neked. Még akkor is, ha telefonját ellopták, és a támadó valahogy tudta, hogy Ön Viber-felhasználó, mégis el kell küldenie az Ön telefonjára üzenetet.
Ez a két tényező jelentősen korlátozza a támadók potenciális készletét, nem is beszélve arról, hogy az Android felhasználók milliói vannak, és csak néhányuk használja a Viber-et. A legtöbb ilyen kizsákmányoláshoz hasonlóan kevés fenyegetést jelent a legtöbb felhasználó számára.
Véleményem szerint itt a valódi veszély az, hogy a Viber fejlesztői vagy nem tudták, vagy nem is érdekelték, hogy a kizsákmányolás alkalmazásukban létezik - és ebben biztosan nem egyedül. Bár nehéz bármilyen alkalmazás teljes körű minőségbiztosítása, különösen az Android fejlesztők számára, akiknek számtalan hardver és operációs rendszer variációt kell figyelembe venni, a fejlesztőknek továbbra is szem előtt kell tartaniuk a biztonságot, amikor alkalmazásukat elhagyják.
frissítés:
Talmon Marco, a Viber tulajdonosa írta kommentjeink szakaszában, hogy a vállalat ezeket az aggodalmakat nagyon komolyan veszi.
"Valójában _vigyázunk erre a kérdésre. Jelentős erőforrásokat fektetettünk be a Viber szolgáltatás biztonságának biztosításához, és nagyon csalódottak vagyunk ebben a hibában. Jelenleg ezt kutatjuk, és javítást fogunk kiadni a jövő héten (szeretnénk ellenőrizni, hogy nem sértenek semmit ennek javításának folyamatában) ".
Ma reggel egy e-mailes beszélgetésben Marco elmondta a SecurityWatch-nek, hogy a későbbiekben a Viber weboldalán javítócsomag lesz elérhető. A Google Play teljes frissítése egy későbbi időpontban érhető el.
2. frissítés:
A Viber arról tájékoztatta, hogy a javított APK letölthető.
