Viber ứng dụng nhắn tin gọi điện miễn phí hàng đầu tại Việt Nam với số lượng hơn 8 triệu người dùng, tuy nhiên bạn không hề biết rằng viber đang mắc phải một lỗi khá lớn đó là lỗi bảo mật Lockscreen
Lỗi bảo mật lockscreen
Một lỗ hổng có thể bị kẻ xấu lợi dụng truy cập và giành quyền kiểm
soát hoàn toàn các điện thoại sử dụng Android cài đặt ứng dụng Viber dù
máy đã được khóa.
Thử
nghiệm tấn công chiếm quyền điều khiển một smartphone Android cài đặt
Viber, điện thoại chủ đích tấn công (bên trái) và điện thoại nạn nhân
(phải).
Lỗi được Công ty an ninh mạng Bkav khám phá
và công bố, được các tạp chí và website bảo mật trên thế giới cảnh báo
đến người dùng trong tuần qua.
Theo Công ty Bkav, việc khai thác
lỗ hổng trên Viber để vượt qua màn hình khóa (lockscreen) của các điện
thoại Android rất đơn giản, dù đối với mỗi dòng máy phương thức khai
thác có khác nhau đôi chút. Cụ thể, hacker chỉ cần vài thao tác với các
popup (cửa sổ) tin nhắn mới của Viber kết hợp cùng một số thủ thuật nhỏ
như sử dụng Notification Bar (thanh thông báo) của điện thoại để gửi tin
nhắn Viber cho nạn nhân là có thể truy cập hoàn toàn thiết bị và sử
dụng mọi ứng dụng, tính năng trên điện thoại giống như chủ nhân của máy.
Ông
Nguyễn Minh Đức, giám đốc bộ phận an ninh mạng của Bkav, phân tích:
“Cách Viber xử lí popup tin nhắn để đưa ra ngoài màn hình khóa không
phải là cách làm thông thường. Nó dẫn tới việc không kiểm soát được
logic lập trình và gây ra lỗ hổng. Sự nguy hiểm của loại lỗ hổng này là
kẻ xấu có thể cài đặt các phần mềm nghe lén, gián điệp lên điện thoại
hoặc đánh cắp dữ liệu mà người sử dụng không hề hay biết”.
Đại
diện Viber đã xác nhận lỗi bảo mật trên và cho biết công ty đang khắc
phục. Viber đã đưa ra bản vá lỗi từ ngày 26/4 trên website của họ với
phiên bản 2.3.7, nhưng vẫn chưa cập nhật tại Google Play. Cho đến nay
(3/5/2013), bản chính thức mới nhất của Viber là 2.3.6.338, phát hành
ngày 18/3/2013.
Không có nhận xét nào:
Đăng nhận xét