วีดีโอ: เพลง๠ดนซ์มาใหม่2017เบส๠น่นฟังà (ธันวาคม 2024)
แอปส่งข้อความของ Viber รวบรวมโมเมนตัมบน Google Play แต่การหาช่องโหว่ใหม่อาจทำให้ผู้ใช้หยุดชั่วคราว เพียงไม่กี่วันที่ผ่านมา บริษัท รักษาความปลอดภัย Bkav ประกาศว่าได้พบวิธีเข้าถึงโทรศัพท์ Android โดยใช้แอปส่งข้อความ Viber ยอดนิยม
แตกต่างจากปัญหา lockscreen ของ Samsung ที่เรารายงานไปก่อนหน้านี้การโจมตีครั้งนี้ไม่ได้ใช้นิ้วที่สวยงาม สิ่งที่ต้องการทั้งหมดคือโทรศัพท์สองเครื่องทั้งที่ใช้ Viber และหมายเลขโทรศัพท์
นี่คือวิธีการทำงาน โทรศัพท์เหยื่อถูกล็อค แต่ได้ติดตั้งและตั้งค่า Viber แล้ว โทรศัพท์ของผู้โจมตีส่งข้อความไปยังเหยื่อซึ่งจะเปิดหน้าต่างแจ้งเตือนบนหน้าจอล็อค หนึ่งในคุณสมบัติพิเศษของ Viber คือคุณสามารถตอบสนองได้แม้ในขณะที่โทรศัพท์ถูกล็อคและการเปิดใช้งานแป้นพิมพ์ Viber เป็นขั้นตอนต่อไปในการโจมตี
เมื่อแป้นพิมพ์เปิดใช้งานบนโทรศัพท์ของเหยื่อแล้วผู้โจมตีจะส่งข้อความอีกครั้ง คราวนี้กดปุ่มย้อนกลับบนโทรศัพท์เหยื่อแล้วคุณก็สามารถเข้าถึงโทรศัพท์เหยื่อได้อย่างเต็มที่
ตาม Bkav ปัญหาเกิดจากวิธี Viber โต้ตอบกับ lockscreen Android เหงียนมินดูคผู้อำนวยการฝ่ายรักษาความปลอดภัยของ BKav อธิบายในเว็บไซต์ของ บริษัท ว่า "วิธีที่ Viber จัดการกับการแสดงข้อความบนหน้าจอล็อคของสมาร์ทโฟนนั้นผิดปกติทำให้ล้มเหลวในการควบคุมตรรกะการเขียนโปรแกรม
Bkav เขียนว่าพวกเขาได้ติดต่อ Viber เกี่ยวกับปัญหานี้แล้ว แต่ยังไม่ได้รับคำตอบ ในฐานะที่เป็นลายลักษณ์อักษรฟีด Twitter และบัญชี Facebook สำหรับ Viber เงียบไปตลอดทั้งวัน
Bkav มีวิดีโอเกี่ยวกับการหาประโยชน์ในเว็บไซต์ของพวกเขา
มันอันตรายแค่ไหน?
ในขณะที่มันน่าตกใจที่ได้เห็นหน้าจอล็อคของ Android หลีกเลี่ยงได้ง่ายความจริงก็คือการใช้ประโยชน์นี้จะต้องพิจารณาสองสิ่งที่ผู้โจมตีส่วนใหญ่ไม่มี ก่อนอื่นพวกเขาต้องการการเข้าถึงโทรศัพท์ของคุณทางกายภาพ หากไม่มีโทรศัพท์คุณจะไม่สำคัญว่าโทรศัพท์จะถูกล็อกหรือปลดล็อกเนื่องจากผู้โจมตีไม่สามารถ ทำ อะไรได้
ประการที่สองผู้โจมตีจะต้องมีข้อมูลผู้ใช้ Viber ของคุณเพื่อส่งข้อความถึงคุณ แม้ว่าโทรศัพท์ของคุณจะถูกขโมยและผู้โจมตีรู้ว่าคุณเป็นผู้ใช้ Viber แต่พวกเขาก็ยังต้องส่งข้อความเฉพาะโทรศัพท์ของคุณ
ปัจจัยสองประการเหล่านี้ จำกัด ศักยภาพของกลุ่มผู้โจมตีอย่างมากไม่ต้องพูดถึงความจริงที่ว่ามีผู้ใช้ Android หลายล้านคนและมีเพียงบางส่วนที่ใช้ Viber เช่นเดียวกับการใช้ประโยชน์จากช่องโหว่เหล่านี้มันเป็นภัยคุกคามต่อผู้ใช้ส่วนใหญ่เพียงเล็กน้อย
ในความคิดของฉันอันตรายที่แท้จริงที่นี่คือนักพัฒนา Viber ไม่ทราบหรือไม่สนใจว่ามีการใช้ประโยชน์ในแอปของพวกเขา - และพวกเขาไม่ได้อยู่คนเดียวในเรื่องนี้ ในขณะที่มันยากที่จะมีการประกันคุณภาพโดยรวมสำหรับแอพใด ๆ โดยเฉพาะอย่างยิ่งสำหรับนักพัฒนา Android ที่มีฮาร์ดแวร์และระบบปฏิบัติการหลายรูปแบบให้พิจารณา แต่นักพัฒนายังต้องคำนึงถึงความปลอดภัยด้วย
ปรับปรุง:
Talmon Marco เจ้าของ Viber เขียนไว้ในส่วนความเห็นของเราว่า บริษัท ให้ความสำคัญกับเรื่องนี้เป็นอย่างมาก
"เรา _do_ ใส่ใจกับปัญหานี้จริง ๆ เราได้ลงทุนทรัพยากรจำนวนมากเพื่อให้แน่ใจว่าบริการของ Viber ปลอดภัยและผิดหวังกับข้อผิดพลาดนี้เรากำลังทำการวิจัยนี้และจะแก้ไขปัญหาในสัปดาห์หน้า (เราต้องการให้แน่ใจว่าเรา จะไม่ทำลายอะไรในกระบวนการแก้ไขนี้) "
ในการสนทนาทางอีเมลเมื่อเช้านี้มาร์โกบอกกับ SecurityWatch ว่าจะมีโปรแกรมแก้ไขบนเว็บไซต์ Viber ในวันนี้ การอัปเดตแบบเต็มผ่าน Google Play จะมีให้ในอนาคต
อัปเดต 2:
Viber แจ้งให้เราทราบว่า APK สำหรับดาวน์โหลดนั้นได้รับการแพตช์แล้ว