Уязвимость в Viber позволяет обходить блокировку Android-смартфона

    Занятную уязвимость в Viber обнаружили исследователи из компании Bkav Internet Security. Используя ее, атакующий может очень просто обойти блокировку Android-телефона, и для этого не нужно никаких специальных навыков или оборудования – нужно знать номер человека и всего пара сообщений.

    На самом деле Viber изначально, при установке, спрашивает разрешение на отключение экрана блокировки, без этого он просто не установится. Это, и, скажем прямо, непродуманная система безопасности самого приложения, приводят к ситуации, показанной на видео:



    У Viber уже более 50 миллионов загрузок на Android, это один из самых популярных VoIP-клиентов и мессенджеров на платформе.

    Разработчики уведомлены о проблеме и уже выпустили фикс. Кроме того, если обновление пока недоступно, пользователи Viber могут просто отключить уведомления.
    Apps4All
    Company
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 13

        0
        Спасибо, обновил.
          +3
          Какая-то нездоровая ситуация, когда пользователю предлагают скачать security update мало того, что не из маркета, так ещё и по короткой ссылке, которая к тому же не на https :)

          http://download.viber.com/viber.apk
            +3
            В запросе не требуется никакой аутентификационной информации, тело ответа для всех клиентов одинаковое. Какой смысл в HTTPS для скачивания апдейта? Разве что в валидации домена, но кто обращает внимание на ошибки вида untrusted issuer для самоподписанных сертификатов?
              0
              «но кто обращает внимание на ошибки вида untrusted issuer для самоподписанных сертификатов?»
              Тот, кто осведомлён о том, что это значит.
                0
                Окей, при подмене домена оба этих человека не поставят обновление. Остальным миллионам — все равно. Следовательно, SSL/TLS в данном случае, по большому счету, бессмысленен и приводит лишь к растрате ресурсов.
                  –1
                  Технические специалисты должны бороться с невежеством, а не потакать ему. Я не пожалел времени на то, чтобы объяснить смысл https своим родным и друзьям, зато теперь спокоен, что они никогда не станут доверять сайту с self-signed certificate. И прецеденты показали, что объяснение было достаточно понятным.

                  А в вас я бы кинул камнем.
                    +1
                    Научно-технический прогресс направлен как раз на то, чтобы мои родные знали как можно меньше про такие вещи TLS, IPSec и как открывать портвейн об книжку, если можно использовать штопор.

                    Технические специалисты должны принимать оптимальные решения, а не совать все что попало во все дыры.

                    Вы спокойны, когда используете не-self-signed сертификаты? Окей, а вы, например, объяснили своим родным об уязвимостях в некоторых потоковых шифрах, применяемых в SSL/TLS разных версиях? Ваши родные морщатся при использовании SSL v2? Форсируют использование TLS v1.2 в броузерах?
                      –2
                      Дурака лелеют, дурака заботливо взращивают, дурака удобряют, и не видно этому конца… Дурак стал нормой, еще немного — и дурак станет идеалом, и доктора философии заведут вокруг него восторженные хороводы. А газеты водят хороводы уже сейчас. Ах, какой ты у нас славный, дурак! Ах, какой ты бодрый и здоровый, дурак! Ах, какой ты оптимистичный, дурак, и какой ты, дурак, умный, какое у тебя тонкое чувство юмора, и как ты ловко решаешь кроссворды!.. Ты, главное, только не волнуйся, дурак, все так хорошо, все так отлично, и наука к твоим услугам, дурак, и литература, чтобы тебе было весело, дурак, и ни о чем не надо думать… А всяких там вредно влияющих хулиганов и скептиков мы с тобой, дурак, разнесем (с тобой, да не разнести!).
          +2
          На самом деле Viber изначально, при установке, спрашивает разрешение на отключение экрана блокировки
          Какая-то странная система блокировки, если любое приложение может её отключить.

          Хотя, у меня такое чувство, что это никакая не системная блокировка, а просто обычное приложение, которое показывается поверх всех остальных приложений и рабочего стола, потому что, если включить экран на изначально не заблокированном «уснувшем» телефоне, секунду-две можно наблюдать содержимое рабочего стола или запущенного приложения, прежде чем появится экран блокировки.
            +1
            Не любое приложение, а только то, которому юзер дал добро. Приложение может даже вайпнуть телефон, если юзер давал ему добро, или тем более занес в Device Administrators. Afaria например.
              0
              И в этом основная фича Андроида!
              Хотя для некоторых пользователей, любая фича может оказаться недостатком…

              UPD. Всегда представляю себе детей, которым в детстве покупали неломающиеся игрушки, и тех, которым покупали обычные. Какие из детей скорее познают, что такое аккуратность?
            0
            А я отключил это сплывающее уведомление, от него глюки постоянные и сообщения навязчиво выскакивают.

            Only users with full accounts can post comments. Log in, please.