וִידֵאוֹ: 15 скрытых фишек Viber, о которых знают не все пользователи (אוֹקְטוֹבֶּר 2024)
אפליקציית ההודעות Viber תפסה תאוצה ב- Google Play, אך ניצול חדש עשוי לגרום למשתמשים להשהות. רק לפני מספר ימים הודיעה חברת האבטחה Bkav כי מצאה דרך להשיג גישה מלאה לטלפונים אנדרואיד באמצעות אפליקציית ההודעות הפופולרית Viber.
שלא כמו סוגיית המסך המנעול של סמסונג עליה דיווחנו קודם לכן, התקפה זו אינה דורשת שום עבודת אצבעות מהודרת. במקום זאת, כל מה שהוא צריך זה שני טלפונים, שניהם מפעילים Viber, ומספר טלפון.
ככה זה עובד. הטלפון של הקורבן נעול, אך Viber הותקן והתקין אותו. הטלפון התוקף מעביר הודעה לקורבן, המעלה חלון התראה על מסך הנעילה. אחת התכונות הייחודיות של Viber היא שתוכלו להגיב גם בזמן הטלפון נעול, והפעלת המקלדת Viber היא השלב הבא בהתקפה.
ברגע שהמקלדת פעילה בטלפון הקורבן, התוקף שולח הודעה נוספת. הפעם, לחץ על כפתור הגב בטלפון הקורבן, ופתאום יש לך גישה מלאה לטלפון הקורבן.
לדברי Bkav, הנושא נובע מהאופן שבו Viber מתקשר עם מסך הנעילה של אנדרואיד. מנהלת חטיבת האבטחה של BKav, נגיין מין דוק, הסבירה באתר החברה, "הדרך בה ויבר מטפל בכדי להקפיא את הודעותיה במסך הנעילה של הסמארטפונים אינה דבר יוצא דופן, וכתוצאה מכך כישלונה אינו שולט בהיגיון התכנות וגורם לפגם להופיע."
בקב כותב כי הם יצרו קשר עם Viber בנושא, אך לא קיבלו תגובה. נכון לכתיבה, עדכון הטוויטר וחשבונות הפייסבוק של Viber שותקים כבר יום.
לבקב יש כמה סרטונים של המנצל בפעולה באתר שלהם.
כמה זה מסוכן?
אמנם זה מזעזע לראות את מסך המנעול של אנדרואיד עקיפה כל כך בקלות, אך המציאות היא שמנצל זה מחזיר שני דברים שרוב התוקפים אין להם. ראשית, הם יצטרכו גישה פיזית לטלפון שלך. בלי הטלפון שלך, לא היה משנה אם הוא נעול או לא נעול מכיוון שהתוקף לא יכול היה לעשות דבר.
שנית, תוקף יצטרך לקבל את פרטי המשתמש שלך ב- Viber כדי לשלוח לך הודעה. גם אם הטלפון שלך נגנב והתוקף איכשהו יודע שאתה משתמש ב- Viber, הם עדיין היו צריכים לשלוח לטלפון הספציפי שלך הודעה.
שני הגורמים הללו מגבילים מאוד את מאגר התוקפים הפוטנציאלי, שלא לדבר על העובדה שיש מיליוני משתמשי אנדרואיד ורק חלקם משתמשים ב- Viber. כמו רוב הניצולים הללו הוא מהווה איום מועט ביותר עבור מרבית המשתמשים.
לדעתי הסכנה האמיתית כאן היא שמפתחי Viber לא ידעו או לא היה אכפת להם שהנצל קיים באפליקציה שלהם - והם בטח לא לבד בזה. אמנם קשה להבטיח אבטחת איכות מוחלטת עבור כל אפליקציה, במיוחד עבור מפתחי אנדרואיד שיש להם שלל חומרי וריאציות של מערכות הפעלה שיש לקחת בחשבון, אך מפתחים עדיין צריכים לזכור את האבטחה כאשר הם דוחפים את האפליקציות שלהם החוצה.
עדכון:
טלמון מרקו, הבעלים של ויבר, כתב במדור התגובות שלנו כי החברה מתייחסת ברצינות רבה לדאגות הללו.
"אנחנו ממש מתעניינים בנושא זה. השקענו משאבים משמעותיים כדי לוודא ששירות Viber מאובטח ודי מאוכזבים מהבאג הזה. כרגע אנו חוקרים את זה ונפרסם תיקון מתישהו בשבוע הבא (אנחנו רוצים לוודא שאנחנו לא שוברים שום דבר בתהליך תיקון זה)."
בשיחת דוא"ל הבוקר אמר מרקו ל- SecurityWatch כי תיקון יהיה זמין באתר Viber בהמשך היום. עדכון מלא דרך Google Play יהיה זמין בתאריך עתידי.
עדכון 2:
Viber הודיעה לנו כי ה- APK המתוקן זמין להורדה.
