ビデオ: Le son è (九月 2024)
ViberメッセージングアプリはGoogle Playで勢いを増していますが、新しい悪用によりユーザーが一時停止する可能性があります。 ほんの数日前、セキュリティ会社のBkavは、人気のあるViberメッセージングアプリを使用してAndroidフォンへのフルアクセスを得る方法を見つけたと発表しました。
以前に報告したサムスンのロック画面の問題とは異なり、この攻撃には手間のかかる作業は必要ありません。 代わりに、Viberを実行している2台の電話と1つの電話番号だけが必要です。
仕組みは次のとおりです。 被害者の電話はロックされていますが、Viberがインストールおよびセットアップされています。 攻撃者の電話は被害者にメッセージを送信し、ロック画面に警告ウィンドウが表示されます。 Viberのユニークな機能の1つは、電話がロックされている場合でも応答できることです。Viberキーボードをアクティブにすることが攻撃の次のステップです。
被害者の電話でキーボードがアクティブになると、攻撃者は別のメッセージを送信します。 今回は、被害者の電話の戻るボタンを押すと、突然被害者の電話に完全にアクセスできます。
Bkavによると、この問題はViberがAndroidロック画面と対話する方法に起因します。 BKavのセキュリティ部門のディレクターであるNguyen Minh Ducは、同社のウェブサイトで、「Viberがスマートフォンのロック画面にメッセージをポップアップする方法は珍しいため、プログラミングロジックを制御できず、欠陥が発生する」と説明しています。
Bkavは、問題についてViberに連絡したが、応答を受け取っていないと書いています。 執筆時点では、ViberのTwitterフィードとFacebookアカウントは1日以上沈黙しています。
BkavのWebサイトには、エクスプロイトの動作に関するビデオがいくつかあります。
これはどれほど危険ですか?
Androidのロック画面が非常に簡単に回避されるのを見るのは衝撃的ですが、現実には、このエクスプロイトはほとんどの攻撃者にはない2つのものを必要とします。 まず、携帯電話への物理的なアクセスが必要です。 携帯電話がなければ、攻撃者 は 何もできなかったため、ロックされているかロック解除されているかは関係ありませ ん 。
第二に、攻撃者はメッセージを送信するためにViberユーザー情報を入手する必要があります。 あなたの電話が盗まれ、攻撃者があなたがViberユーザーであることをどういうわけか知っていたとしても、彼らはあなたの特定の電話にメッセージを送る必要があります。
これらの2つの要因により、潜在的な攻撃者のプールが大幅に制限されます。もちろん、Viberを使用するAndroidユーザーは数百万人であり、一部のユーザーのみがいるという事実は言うまでもありません。 これらのエクスプロイトのほとんどと同様に、ほとんどのユーザーにほとんど脅威を与えません。
私の意見では、ここでの本当の危険は、Viber開発者がアプリにエクスプロイトが存在することを知らなかった、または気にしなかったということです。 特にあらゆるハードウェアとオペレーティングシステムのバリエーションを検討するAndroid開発者にとって、すべてのアプリの総合的な品質保証を得るのは困難ですが、開発者はアプリをプッシュする際にセキュリティに留意する必要があります。
更新:
Viberの所有者であるTalmon Marcoは、コメントセクションで、これらの懸念を非常に真剣に受け止めていると書いています。
「私たちは実際にこの問題に気を配ります。Viberサービスが安全であり、このバグに非常に失望していることを確認するために多大なリソースを投資しました。これを修正する過程で何も壊していません。」
今朝のメールでの会話の中で、マルコはSecurityWatchに、本日中にViberウェブサイトでパッチが利用可能になると語った。 Google Playを介した完全なアップデートは、将来的に利用可能になります。
アップデート2:
Viberは、パッチを適用したAPKをダウンロードできることをお知らせしました。
