Video: Cómo aprovechar Viber al máximo (Noviembre 2024)
La aplicación de mensajería Viber ha estado cobrando impulso en Google Play, pero un nuevo exploit podría hacer que los usuarios se detengan. Hace solo unos días, la compañía de seguridad Bkav anunció que había encontrado una manera de obtener acceso completo a los teléfonos Android utilizando la popular aplicación de mensajería Viber.
A diferencia del problema de la pantalla de bloqueo de Samsung que informamos anteriormente, este ataque no requiere ningún trabajo sofisticado. En cambio, todo lo que necesita son dos teléfonos, ambos con Viber, y un número de teléfono.
Así es como funciona. El teléfono de la víctima está bloqueado, pero tiene Viber instalado y configurado. El teléfono atacante envía un mensaje a la víctima, que muestra una ventana de alerta en la pantalla de bloqueo. Una de las características únicas de Viber es que puede responder incluso mientras el teléfono está bloqueado, y activar el teclado de Viber es el siguiente paso en el ataque.
Una vez que el teclado está activo en el teléfono de la víctima, el atacante envía otro mensaje. Esta vez, presione el botón Atrás en el teléfono de la víctima y, de repente, tendrá acceso completo al teléfono de la víctima.
Según Bkav, el problema se debe a la forma en que Viber interactúa con la pantalla de bloqueo de Android. El director de la división de seguridad de BKav, Nguyen Minh Duc, explicó en el sitio web de la compañía, "la forma en que Viber trata de mostrar sus mensajes en la pantalla de bloqueo de los teléfonos inteligentes es inusual, lo que resulta en su falla para controlar la lógica de programación, lo que hace que aparezca la falla".
Bkav escribe que se han contactado con Viber sobre el problema, pero no han recibido una respuesta. Al momento de escribir, el feed de Twitter y las cuentas de Facebook para Viber han estado en silencio durante más de un día.
Bkav tiene varios videos del exploit en acción en su sitio web.
¿Qué tan peligroso es esto?
Si bien es impactante ver que la pantalla de bloqueo de Android se elude tan fácilmente, la realidad es que este exploit requiere dos cosas que la mayoría de los atacantes no tienen. Primero, necesitarían acceso físico a su teléfono. Sin su teléfono, no importaría si estaba bloqueado o desbloqueado ya que el atacante no podía hacer nada.
Segundo, un atacante necesitaría tener su información de usuario de Viber para enviarle un mensaje. Incluso si su teléfono fue robado y el atacante sabía de alguna manera que usted era un usuario de Viber, aún así tendrían que enviarle un mensaje a su teléfono específico.
Estos dos factores limitan en gran medida el grupo potencial de atacantes, sin mencionar el hecho de que hay millones de usuarios de Android y solo algunos usan Viber. Como la mayoría de estos exploits, representa una pequeña amenaza para la mayoría de los usuarios.
En mi opinión, el verdadero peligro aquí es que los desarrolladores de Viber no sabían o no les importaba que el exploit existiera en su aplicación, y seguramente no están solos en esto. Si bien es difícil tener una garantía de calidad total para cualquier aplicación, particularmente para los desarrolladores de Android que tienen que considerar una miríada de variaciones de hardware y sistema operativo, los desarrolladores aún deben tener en cuenta la seguridad cuando lanzan sus aplicaciones.
Actualizar:
Talmon Marco, el dueño de Viber, escribió en nuestra sección de comentarios que la compañía se está tomando muy en serio estas preocupaciones.
"Realmente nos preocupamos por este problema. Hemos invertido recursos significativos para asegurarnos de que el servicio de Viber sea seguro y estamos bastante decepcionados con este error. Actualmente estamos investigando esto y emitiremos una solución en algún momento de la próxima semana (queremos asegurarnos de que no están rompiendo nada en el proceso de arreglar esto) ".
En una conversación por correo electrónico esta mañana, Marco le dijo a SecurityWatch que un parche estaría disponible en el sitio web de Viber más tarde hoy. Una actualización completa a través de Google Play estará disponible en una fecha futura.
Actualización 2:
Viber nos ha informado que el APK parcheado está disponible para descargar.
