Viber即时通讯应用在谷歌Play上的势头一直很好,但一个新的漏洞可能会让用户犹豫。就在几天前安全公司Bkav宣布(在一个新窗口中打开)它已经找到了一种方法,可以通过流行的通讯应用Viber完全访问Android手机。
不像我们之前报道过三星锁屏问题在美国,这种攻击不需要任何花哨的手指动作。相反,它只需要两部运行Viber的手机和一个电话号码。
下面是它的工作原理。受害者的手机是锁定的,但它安装了Viber。攻击者的手机向受害者发送一条消息,这将在锁定屏幕上弹出一个警告窗口。Viber的一个独特功能是,即使手机处于锁定状态,你也可以进行响应,激活Viber键盘是攻击的下一步。
一旦受害者手机上的键盘激活,攻击者就会发送另一条消息。这一次,按下受害者手机上的后退键,突然之间你就可以完全访问受害者手机了。
根据Bkav的说法,这个问题源于Viber与Android锁屏交互的方式。BKav的安全部门主管Nguyen Minh Duc在公司网站上解释说:“Viber在智能手机锁屏上弹出信息的方式不同寻常,导致它无法控制编程逻辑,导致漏洞出现。”
Bkav写道,他们已经就这个问题联系了Viber,但还没有收到回复。截至发稿时,Viber的Twitter和Facebook账户已经一天多没有消息了。
Bkav在他们的网站上有一些利用的视频。
这有多危险?
虽然看到Android锁屏如此容易被绕过令人震惊,但现实是,这种漏洞需要两件大多数攻击者不具备的东西。首先,他们需要对你的手机进行物理访问。没有你的手机,不管它是锁还是解锁,因为攻击者不能做任何东西。
其次,攻击者需要有你的Viber用户信息才能给你发送信息。即使你的手机被偷了,攻击者不知怎么知道你是Viber用户,他们仍然需要给你的特定手机发送信息。
这两个因素极大地限制了潜在的攻击者,更不用说Android用户数以百万计,而只有一部分人在使用推出。像大多数这些漏洞一样,它对大多数用户构成的威胁很小。
在我看来,真正的危险在于Viber的开发者们要么不知道,要么不在乎他们的应用程序中存在漏洞——他们肯定不是唯一一个这样做的人。虽然很难对任何应用程序进行全面的质量保证,特别是对于需要考虑多种硬件和操作系统变体的Android开发者来说,但开发者在推出应用程序时仍然需要牢记安全性。
更新:
Viber的老板Talmon Marco在我们的评论区留言公司非常重视这些问题。
“我们确实关心这个问题。我们已经投入了大量资源来确保Viber服务的安全,对这个bug非常失望。我们目前正在研究这个问题,并将在下周发布一个修复程序(我们想确保在修复过程中没有破坏任何东西)。”
在今天早上的一次电子邮件对话中,Marco告诉SecurityWatch,一个补丁将于今天晚些时候在Viber的网站上发布。通过谷歌Play的完整更新将在未来的某一天可用。
更新2:
Viber已经通知我们已打补丁的APK可下载(在一个新窗口中打开).