บ้าน Securitywatch ช่องโหว่ของ Viber ช่วยให้แฮกเกอร์ปลดล็อคโทรศัพท์ Android ของคุณ

ช่องโหว่ของ Viber ช่วยให้แฮกเกอร์ปลดล็อคโทรศัพท์ Android ของคุณ

2024

วีดีโอ: à¹€à¸žà¸¥à¸‡à¹ à¸”à¸™à¸‹à¹Œà¸¡à¸²à¹ƒà¸«à¸¡à¹ˆ2017à¹€à¸šà¸ªà¹ à¸™à¹ˆà¸™à¸Ÿà¸±à¸‡à (กันยายน 2024)

วีดีโอ: à¹€à¸žà¸¥à¸‡à¹ à¸”à¸™à¸‹à¹Œà¸¡à¸²à¹ƒà¸«à¸¡à¹ˆ2017à¹€à¸šà¸ªà¹ à¸™à¹ˆà¸™à¸Ÿà¸±à¸‡à (กันยายน 2024)

แอปส่งข้อความของ Viber รวบรวมโมเมนตัมบน Google Play แต่การหาช่องโหว่ใหม่อาจทำให้ผู้ใช้หยุดชั่วคราว เพียงไม่กี่วันที่ผ่านมา บริษัท รักษาความปลอดภัย Bkav ประกาศว่าได้พบวิธีเข้าถึงโทรศัพท์ Android โดยใช้แอปส่งข้อความ Viber ยอดนิยม

แตกต่างจากปัญหา lockscreen ของ Samsung ที่เรารายงานไปก่อนหน้านี้การโจมตีครั้งนี้ไม่ได้ใช้นิ้วที่สวยงาม สิ่งที่ต้องการทั้งหมดคือโทรศัพท์สองเครื่องทั้งที่ใช้ Viber และหมายเลขโทรศัพท์

นี่คือวิธีการทำงาน โทรศัพท์เหยื่อถูกล็อค แต่ได้ติดตั้งและตั้งค่า Viber แล้ว โทรศัพท์ของผู้โจมตีส่งข้อความไปยังเหยื่อซึ่งจะเปิดหน้าต่างแจ้งเตือนบนหน้าจอล็อค หนึ่งในคุณสมบัติพิเศษของ Viber คือคุณสามารถตอบสนองได้แม้ในขณะที่โทรศัพท์ถูกล็อคและการเปิดใช้งานแป้นพิมพ์ Viber เป็นขั้นตอนต่อไปในการโจมตี

เมื่อแป้นพิมพ์เปิดใช้งานบนโทรศัพท์ของเหยื่อแล้วผู้โจมตีจะส่งข้อความอีกครั้ง คราวนี้กดปุ่มย้อนกลับบนโทรศัพท์เหยื่อแล้วคุณก็สามารถเข้าถึงโทรศัพท์เหยื่อได้อย่างเต็มที่

ตาม Bkav ปัญหาเกิดจากวิธี Viber โต้ตอบกับ lockscreen Android เหงียนมินดูคผู้อำนวยการฝ่ายรักษาความปลอดภัยของ BKav อธิบายในเว็บไซต์ของ บริษัท ว่า "วิธีที่ Viber จัดการกับการแสดงข้อความบนหน้าจอล็อคของสมาร์ทโฟนนั้นผิดปกติทำให้ล้มเหลวในการควบคุมตรรกะการเขียนโปรแกรม

Bkav เขียนว่าพวกเขาได้ติดต่อ Viber เกี่ยวกับปัญหานี้แล้ว แต่ยังไม่ได้รับคำตอบ ในฐานะที่เป็นลายลักษณ์อักษรฟีด Twitter และบัญชี Facebook สำหรับ Viber เงียบไปตลอดทั้งวัน

Bkav มีวิดีโอเกี่ยวกับการหาประโยชน์ในเว็บไซต์ของพวกเขา

มันอันตรายแค่ไหน?

ในขณะที่มันน่าตกใจที่ได้เห็นหน้าจอล็อคของ Android หลีกเลี่ยงได้ง่ายความจริงก็คือการใช้ประโยชน์นี้จะต้องพิจารณาสองสิ่งที่ผู้โจมตีส่วนใหญ่ไม่มี ก่อนอื่นพวกเขาต้องการการเข้าถึงโทรศัพท์ของคุณทางกายภาพ หากไม่มีโทรศัพท์คุณจะไม่สำคัญว่าโทรศัพท์จะถูกล็อกหรือปลดล็อกเนื่องจากผู้โจมตีไม่สามารถ ทำ อะไรได้

ประการที่สองผู้โจมตีจะต้องมีข้อมูลผู้ใช้ Viber ของคุณเพื่อส่งข้อความถึงคุณ แม้ว่าโทรศัพท์ของคุณจะถูกขโมยและผู้โจมตีรู้ว่าคุณเป็นผู้ใช้ Viber แต่พวกเขาก็ยังต้องส่งข้อความเฉพาะโทรศัพท์ของคุณ

ปัจจัยสองประการเหล่านี้ จำกัด ศักยภาพของกลุ่มผู้โจมตีอย่างมากไม่ต้องพูดถึงความจริงที่ว่ามีผู้ใช้ Android หลายล้านคนและมีเพียงบางส่วนที่ใช้ Viber เช่นเดียวกับการใช้ประโยชน์จากช่องโหว่เหล่านี้มันเป็นภัยคุกคามต่อผู้ใช้ส่วนใหญ่เพียงเล็กน้อย

ในความคิดของฉันอันตรายที่แท้จริงที่นี่คือนักพัฒนา Viber ไม่ทราบหรือไม่สนใจว่ามีการใช้ประโยชน์ในแอปของพวกเขา - และพวกเขาไม่ได้อยู่คนเดียวในเรื่องนี้ ในขณะที่มันยากที่จะมีการประกันคุณภาพโดยรวมสำหรับแอพใด ๆ โดยเฉพาะอย่างยิ่งสำหรับนักพัฒนา Android ที่มีฮาร์ดแวร์และระบบปฏิบัติการหลายรูปแบบให้พิจารณา แต่นักพัฒนายังต้องคำนึงถึงความปลอดภัยด้วย

ปรับปรุง:

Talmon Marco เจ้าของ Viber เขียนไว้ในส่วนความเห็นของเราว่า บริษัท ให้ความสำคัญกับเรื่องนี้เป็นอย่างมาก

"เรา _do_ ใส่ใจกับปัญหานี้จริง ๆ เราได้ลงทุนทรัพยากรจำนวนมากเพื่อให้แน่ใจว่าบริการของ Viber ปลอดภัยและผิดหวังกับข้อผิดพลาดนี้เรากำลังทำการวิจัยนี้และจะแก้ไขปัญหาในสัปดาห์หน้า (เราต้องการให้แน่ใจว่าเรา จะไม่ทำลายอะไรในกระบวนการแก้ไขนี้) "

ในการสนทนาทางอีเมลเมื่อเช้านี้มาร์โกบอกกับ SecurityWatch ว่าจะมีโปรแกรมแก้ไขบนเว็บไซต์ Viber ในวันนี้ การอัปเดตแบบเต็มผ่าน Google Play จะมีให้ในอนาคต

อัปเดต 2:

Viber แจ้งให้เราทราบว่า APK สำหรับดาวน์โหลดนั้นได้รับการแพตช์แล้ว