Video: guida - avere pieno controllo di un cellulare android (Settembre 2024)
L'app di messaggistica Viber sta acquisendo slancio su Google Play, ma un nuovo exploit potrebbe mettere in pausa gli utenti. Solo pochi giorni fa, la società di sicurezza Bkav ha annunciato di aver trovato il modo di ottenere pieno accesso ai telefoni Android utilizzando la famosa app di messaggistica Viber.
A differenza del problema del blocco schermo Samsung che abbiamo segnalato in precedenza, questo attacco non richiede alcun lavoro da dito fantasioso. Invece, tutto ciò che serve sono due telefoni, entrambi con Viber e un numero di telefono.
Ecco come funziona. Il telefono della vittima è bloccato, ma Viber è installato e configurato. Il telefono attaccante invia un messaggio alla vittima, che fa apparire una finestra di avviso sulla schermata di blocco. Una delle caratteristiche uniche di Viber è che puoi rispondere anche mentre il telefono è bloccato e l'attivazione della tastiera Viber è il passo successivo dell'attacco.
Una volta che la tastiera è attiva sul telefono della vittima, l'attaccante invia un altro messaggio. Questa volta, premi il pulsante Indietro sul telefono della vittima e improvvisamente hai pieno accesso al telefono della vittima.
Secondo Bkav, il problema deriva dal modo in cui Viber interagisce con la schermata di blocco di Android. Il direttore della divisione di sicurezza di BKav, Nguyen Minh Duc, ha spiegato sul sito Web della società, "il modo in cui Viber gestisce i messaggi nella schermata di blocco degli smartphone è insolito, con il risultato che non riesce a controllare la logica di programmazione, facendo apparire il difetto".
Bkav scrive di aver contattato Viber in merito al problema, ma di non aver ricevuto risposta. Al momento della scrittura, il feed Twitter e gli account Facebook di Viber sono stati in silenzio per oltre un giorno.
Bkav ha diversi video dell'exploit in azione sul proprio sito Web.
Quanto è pericoloso questo?
Mentre è scioccante vedere la schermata di blocco di Android così facilmente aggirabile, la realtà è che questo exploit richiede due cose che la maggior parte degli attaccanti non ha. Innanzitutto, avrebbero bisogno dell'accesso fisico al tuo telefono. Senza il tuo telefono, non importa se fosse bloccato o sbloccato poiché l'attaccante non poteva fare nulla.
In secondo luogo, un utente malintenzionato dovrebbe disporre delle informazioni dell'utente Viber per inviarti un messaggio. Anche se il tuo telefono è stato rubato e l'attaccante in qualche modo sapeva che eri un utente Viber, avrebbero comunque bisogno di inviare un messaggio al tuo telefono specifico.
Questi due fattori limitano notevolmente il potenziale pool di aggressori, per non parlare del fatto che ci sono milioni di utenti Android e solo alcuni usano Viber. Come la maggior parte di questi exploit, rappresenta una piccola minaccia per la maggior parte degli utenti.
Secondo me, il vero pericolo qui è che gli sviluppatori di Viber o non sapevano o non importavano che l'exploit esistesse nella loro app - e sicuramente non sono soli in questo. Sebbene sia difficile avere la garanzia di qualità totale per qualsiasi app, in particolare per gli sviluppatori Android che hanno da considerare miriadi di varianti hardware e del sistema operativo, gli sviluppatori devono comunque tenere a mente la sicurezza quando spingono fuori le loro app.
Aggiornare:
Talmon Marco, il proprietario di Viber, ha scritto nella nostra sezione commenti che la società sta prendendo molto sul serio queste preoccupazioni.
"In realtà, ci preoccupiamo di questo problema. Abbiamo investito risorse significative per assicurarci che il servizio Viber sia sicuro e siamo piuttosto delusi da questo errore. Attualmente stiamo effettuando ricerche su questo problema e pubblicheremo una soluzione la prossima settimana (vogliamo assicurarci di non stanno rompendo nulla nel processo di risoluzione di questo)."
In una conversazione e-mail questa mattina, Marco ha detto a SecurityWatch che una patch sarebbe stata disponibile sul sito web di Viber più tardi oggi. Un aggiornamento completo tramite Google Play sarà disponibile in futuro.
Aggiornamento 2:
Viber ci ha informato che l'APK con patch è disponibile per il download.
