Video: 15 Clear Signs Your Phone Was Hacked (November 2024)
De Viber-berichtenapp heeft een impuls gekregen op Google Play, maar een nieuwe exploit kan gebruikers pauzeren. Een paar dagen geleden kondigde beveiligingsbedrijf Bkav aan dat het een manier heeft gevonden om volledige toegang tot Android-telefoons te krijgen met behulp van de populaire Viber-berichtenapp.
In tegenstelling tot het Samsung lockscreen-probleem dat we eerder hebben gemeld, vereist deze aanval geen fancy vingerwerk. In plaats daarvan is alles wat het nodig heeft twee telefoons, beide met Viber, en een telefoonnummer.
Dit is hoe het werkt. De telefoon van het slachtoffer is vergrendeld, maar Viber is geïnstalleerd en ingesteld. De aanvallertelefoon stuurt een bericht naar het slachtoffer, dat een waarschuwingsvenster op het vergrendelscherm opent. Een van de unieke kenmerken van Viber is dat je kunt reageren, zelfs als de telefoon is vergrendeld, en het activeren van het Viber-toetsenbord is de volgende stap in de aanval.
Zodra het toetsenbord actief is op de telefoon van het slachtoffer, stuurt de aanvaller een ander bericht. Druk deze keer op de knop Terug op de telefoon van het slachtoffer en je hebt plotseling volledige toegang tot de telefoon van het slachtoffer.
Volgens Bkav komt het probleem voort uit de manier waarop Viber omgaat met het Android-vergrendelingsscherm. BKav's beveiligingsdivisie directeur Nguyen Minh Duc legde uit op de website van het bedrijf: "De manier waarop Viber om berichten op het vergrendelscherm van smartphones te pop-upen is ongebruikelijk, wat resulteert in het falen om programmeerlogica te controleren, waardoor de fout verschijnt."
Bkav schrijft dat ze contact hebben opgenomen met Viber over het probleem, maar geen reactie hebben ontvangen. Op het moment van schrijven zijn de Twitter-feed en Facebook-accounts voor Viber al meer dan een dag stil.
Bkav heeft verschillende video's van de exploit in actie op hun website.
Hoe gevaarlijk is dit?
Hoewel het schokkend is om het Android-vergrendelscherm zo gemakkelijk te omzeilen, is de realiteit dat deze exploit twee dingen opeist die de meeste aanvallers niet hebben. Ten eerste hebben ze fysieke toegang tot uw telefoon nodig. Zonder uw telefoon zou het niet uitmaken of deze was vergrendeld of ontgrendeld, omdat de aanvaller niets kon doen .
Ten tweede heeft een aanvaller uw Viber-gebruikersinformatie nodig om u een bericht te sturen. Zelfs als je telefoon is gestolen en de aanvaller op de een of andere manier wist dat je een Viber-gebruiker was, zou hij je specifieke telefoon nog steeds een bericht moeten sturen.
Deze twee factoren beperken de potentiële pool van aanvallers aanzienlijk, om nog maar te zwijgen van het feit dat er miljoenen Android-gebruikers zijn en slechts enkelen Viber gebruiken. Zoals de meeste van deze exploits vormt het weinig bedreiging voor de meeste gebruikers.
Naar mijn mening is het echte gevaar hier dat de Viber-ontwikkelaars niet wisten of er niets om gaven dat de exploit in hun app bestond - en ze zijn hier zeker niet alleen in. Hoewel het moeilijk is om totale kwaliteitsborging te hebben voor elke app, met name voor Android-ontwikkelaars die talloze hardware- en besturingssysteemvariaties in overweging moeten nemen, moeten ontwikkelaars nog steeds rekening houden met beveiliging wanneer ze hun apps eruit duwen.
Bijwerken:
Talmon Marco, de eigenaar van Viber, schreef in onze commentarensectie dat het bedrijf deze zorgen zeer serieus neemt.
"We geven eigenlijk om dit probleem. We hebben aanzienlijke middelen geïnvesteerd om ervoor te zorgen dat de Viber-service veilig is en zijn erg teleurgesteld over deze bug. We onderzoeken dit momenteel en zullen volgende week een oplossing bieden (we willen ervoor zorgen dat we breken niets tijdens het oplossen hiervan)."
In een e-mailgesprek vanochtend vertelde Marco SecurityWatch dat later vandaag een patch beschikbaar zou zijn op de Viber-website. Een volledige update via Google Play zal op een toekomstige datum beschikbaar zijn.
Update 2:
Viber heeft ons laten weten dat de gepatchte APK kan worden gedownload.
