Video: Đăng xuất Viber trên máy tính | Hướng dẫn Log Out viber trên PC | How to Log Out from Viber on PC (Tháng Chín 2024)
Ứng dụng nhắn tin Viber đã và đang thu thập động lực trên Google Play, nhưng một khai thác mới có thể khiến người dùng tạm dừng. Chỉ vài ngày trước, công ty bảo mật Bkav tuyên bố rằng họ đã tìm được cách truy cập đầy đủ vào điện thoại Android bằng ứng dụng nhắn tin Viber nổi tiếng.
Không giống như vấn đề màn hình khóa của Samsung mà chúng tôi đã báo cáo trước đó, cuộc tấn công này không thực hiện bất kỳ hoạt động ngón tay ưa thích nào. Thay vào đó, tất cả những gì nó cần là hai điện thoại, cả chạy Viber và số điện thoại.
Đây là cách nó hoạt động. Điện thoại nạn nhân bị khóa, nhưng nó đã cài đặt và cài đặt Viber. Điện thoại của kẻ tấn công gửi tin nhắn cho nạn nhân, trong đó hiện ra một cửa sổ cảnh báo trên màn hình khóa. Một trong những tính năng độc đáo của Viber là bạn có thể phản hồi ngay cả khi điện thoại bị khóa và kích hoạt bàn phím Viber là bước tiếp theo trong cuộc tấn công.
Khi bàn phím hoạt động trên điện thoại nạn nhân, kẻ tấn công sẽ gửi một tin nhắn khác. Lần này, nhấn nút quay lại trên điện thoại nạn nhân và đột nhiên bạn có toàn quyền truy cập vào điện thoại nạn nhân.
Theo Bkav, vấn đề bắt nguồn từ cách Viber tương tác với màn hình khóa Android. Giám đốc bộ phận an ninh của BKav, Nguyễn Minh Đức giải thích trên trang web của công ty, "cách Viber xử lý để bật các tin nhắn trên màn hình khóa của điện thoại thông minh là bất thường, dẫn đến việc không kiểm soát logic lập trình, khiến lỗ hổng xuất hiện."
Bkav viết rằng họ đã liên lạc với Viber về vấn đề này, nhưng không nhận được phản hồi. Khi viết, nguồn cấp dữ liệu Twitter và Facebook cho Viber đã im lặng trong hơn một ngày.
Bkav có một số video khai thác trên trang web của họ.
Điều này nguy hiểm đến mức nào?
Mặc dù thật sốc khi thấy màn hình khóa Android dễ dàng bị phá vỡ, nhưng thực tế là việc khai thác này thu hồi hai điều mà hầu hết những kẻ tấn công không có. Đầu tiên, họ cần quyền truy cập vật lý vào điện thoại của bạn. Không có điện thoại của bạn, sẽ không có vấn đề gì nếu nó bị khóa hoặc mở khóa vì kẻ tấn công không thể làm gì.
Thứ hai, kẻ tấn công sẽ cần phải có thông tin người dùng Viber của bạn để gửi tin nhắn cho bạn. Ngay cả khi điện thoại của bạn bị đánh cắp và kẻ tấn công bằng cách nào đó biết rằng bạn là người dùng Viber, họ vẫn cần gửi tin nhắn cho điện thoại cụ thể của bạn.
Hai yếu tố này hạn chế rất nhiều nhóm kẻ tấn công tiềm năng, chưa kể đến việc có hàng triệu người dùng Android và chỉ một số người sử dụng Viber. Giống như hầu hết các khai thác này, nó gây ra mối đe dọa nhỏ cho hầu hết người dùng.
Theo tôi, mối nguy hiểm thực sự ở đây là các nhà phát triển Viber không biết hoặc không quan tâm đến việc khai thác tồn tại trong ứng dụng của họ và họ chắc chắn không đơn độc trong việc này. Mặc dù khó có thể đảm bảo chất lượng hoàn toàn cho bất kỳ ứng dụng nào, đặc biệt là đối với các nhà phát triển Android có vô số biến thể phần cứng và hệ điều hành để xem xét, các nhà phát triển vẫn cần lưu ý bảo mật khi họ đẩy ứng dụng ra.
Cập nhật:
Talmon Marco, chủ sở hữu của Viber, đã viết trong phần bình luận của chúng tôi rằng công ty đang rất coi trọng những mối quan tâm này.
"Chúng tôi thực sự quan tâm đến vấn đề này. Chúng tôi đã đầu tư nguồn lực đáng kể để đảm bảo dịch vụ Viber được bảo mật và khá thất vọng với lỗi này. Chúng tôi hiện đang nghiên cứu vấn đề này và sẽ đưa ra cách khắc phục vào tuần tới (chúng tôi muốn đảm bảo rằng chúng tôi sẽ đảm bảo không phá vỡ bất cứ điều gì trong quá trình sửa lỗi này). "
Trong một cuộc trò chuyện qua email sáng nay, Marco nói với SecurityWatch rằng một bản vá sẽ có sẵn trên trang web của Viber sau ngày hôm nay. Một bản cập nhật đầy đủ thông qua Google Play sẽ có sẵn vào một ngày trong tương lai.
Cập nhật 2:
Viber đã thông báo cho chúng tôi rằng APK đã vá có sẵn để tải xuống.
