视频: Le son è (十一月 2024)
Viber消息传递应用程序一直在Google Play上积蓄势头,但新的利用可能会使用户暂停。 就在几天前,安全公司Bkav宣布,它已经找到了一种使用流行的Viber消息传递应用程序完全访问Android手机的方法。
与我们之前报道的三星锁屏问题不同,此攻击不需要花哨的手指。 取而代之的是,它只需要两部都运行Viber的电话和一个电话号码。
运作方式如下。 受害者电话已锁定,但已安装并设置了Viber。 攻击者手机会向受害者发送消息,这会在锁定屏幕上弹出一个警报窗口。 Viber的独特功能之一是即使手机处于锁定状态,您也可以做出响应,而激活Viber键盘是下一步的攻击。
一旦受害者电话上的键盘处于活动状态,攻击者就会发送另一条消息。 这次,按受害电话上的“后退”按钮,突然您就可以完全访问受害电话。
根据Bkav的说法,此问题源于Viber与Android锁屏进行交互的方式。 BKav的安全部门主管Nguyen Minh Duc在该公司的网站上解释说:“ Viber处理在智能手机的锁定屏幕上弹出其消息的方式很不正常,导致无法控制编程逻辑,从而导致漏洞出现。”
Bkav写道,他们已就此问题与Viber联系,但未收到任何回复。 在撰写本文时,Viber的Twitter feed和Facebook帐户已经沉默了整整一天。
Bkav在其网站上有一些利用该漏洞的视频。
这有多危险?
如此轻松地绕过Android锁屏令人震惊,但事实是,此漏洞需要大多数攻击者所没有的两件事。 首先,他们需要物理访问您的手机。 没有您的手机,锁定还是解锁都没有 关系, 因为攻击者无法 做 任何事情。
其次,攻击者需要具有您的Viber用户信息才能向您发送消息。 即使您的电话被盗,并且攻击者以某种方式知道您是Viber用户,他们仍然需要向您的特定电话发送消息。
这两个因素极大地限制了潜在的攻击者数量,更不用说有数百万的Android用户并且只有一部分使用Viber的事实。 像大多数此类攻击一样,它对大多数用户几乎没有威胁。
在我看来,这里的真正危险是Viber开发人员要么不知道,要么不在乎该漏洞是否存在于他们的应用程序中-当然,他们并不孤单。 虽然很难为任何应用程序提供全面的质量保证,尤其是对于要考虑多种硬件和操作系统变体的Android开发人员,但在推出应用程序时,开发人员仍然需要牢记安全性。
更新:
Viber的所有者Talmon Marco在我们的评论部分中写道,该公司非常重视这些问题。
“我们实际上是在关心这个问题。我们已投入大量资源来确保Viber服务的安全性,并对这个错误感到非常失望。我们正在对此进行研究,并将在下周的某个时间发布修复程序(我们希望确保我们在解决此问题时不会破坏任何东西)。”
在今天早上的一封电子邮件中,Marco告诉SecurityWatch,补丁将在今天晚些时候在Viber网站上提供。 Google Play的完整更新将在将来的某个日期提供。
更新2:
Viber通知我们,可下载修补的APK。
