BKAV phát hiện lỗ hổng trên Viber giúp ‘vượt rào’ điện thoại Android

Theo hãng bảo mật BKAV, lỗ hổng nghiêm trọng trong ứng dụng nhắn tin miễn phí Viber cho phép hacker vượt qua màn hình khóa, truy cập hoàn toàn vào điện thoại Android.
BKAV giải thích cơ chế tấn công như sau: Điện thoại nạn nhân bị khóa song đã cài đặt và đang khởi chạy Viber. Kẻ tấn công nhắn một tin nhắn tới nạn nhân, lúc này sẽ có thông báo trên màn hình khóa. Một trong những tính năng độc đáo của Viber là bạn có thể trả lời tin nhắn dù điện thoại đã khóa (lưu ý là điện thoại Android). Kích hoạt bàn phím Viber là bước thứ 2 để tấn công.
Một khi bàn phím được kích hoạt trên điện thoại nạn nhân, kẻ tấn công gửi tiếp một tin nhắn khác. Lần này, chỉ cần nhấn nút quay lại (back) trên điện thoại nạn nhân, hắn sẽ ngay lập tức truy cập vào thiết bị.
Lỗ hổng nghiêm trọng trong ứng dụng nhắn tin miễn phí Viber cho phép hacker vượt qua màn hình khóa, truy cập hoàn toàn vào điện thoại Android.
Theo BKAV, vấn đề phát sinh từ cách thức Viber tương tác với màn hình khóa Android. Giám đốc bộ phận An ninh của BKAV, Nguyễn Minh Đức, viết trên website công ty: “Cách Viber xử lý tin nhắn pop-up trên màn hình khóa của smartphone không thường gặp, dẫn tới không kiểm soát được logic lập trình điều khiển, gây ra lỗ hổng như đã nói”.
BKAV đã liên hệ với Viber về vấn đề trên song chưa được phản hồi. Vào thời điểm phóng viên viết bài này, tài khoản Facebook, Twitter chính thức của Viber vẫn im lặng. Song đại diện Viber cho biết sẽ vá lỗi trong tuần tới.
Dù khá sốc trước thông tin kẻ xấu có thể dễ dàng vượt rào qua màn hình khóa của Android, nhưng người dùng không nên quá hoảng hốt bởi thực tế lỗ hổng này yêu cầu hai thứ mà phần lớn kẻ tấn công không có. Đầu tiên, chúng cần tiếp cận thực sự với điện thoại nạn nhân; nếu không sẽ không có gì nguy hiểm xảy ra với điện thoại của bạn dù nó đã khóa hay không khóa. Thứ hai, kẻ tấn công phải biết được thông tin Viber của nạn nhân để gửi tin nhắn.
Hai yếu tố trên có thể hạn chế tối đa khả năng bị hacker tấn công, chưa nhắc tới việc chỉ một tỉ lệ nhỏ trong số hàng triệu người dùng Android sử dụng Viber. Điều gây lo ngại ở đây là lập trình viên Viber không biết hay không quan tâm tới lỗ hổng bảo mật trong ứng dụng của họ. Chắc chắn, Viber không phải là nhà phát triển ứng dụng duy nhất bị xét nét về điều này.
Clip minh họa quá trình khai thác lỗ hổng trên nhiều mẫu smartphone Android:
Theo ICT News
- Tìm lại smartphone bị mất với ứng dụng Prey
- Giải pháp Microsoft toàn diện giúp TAFICO nâng cao năng lực cạnh tranh
- 7 lợi ích sau khi ‘bẻ khoá’ iPhone
- Ứng dụng nhắn tin thoại đầu tiên đạt 2 triệu người dùng tại VN
- Sử dụng hiệu quả 4 tính năng ẩn trên Samsung Galaxy S7
- Cột mốc 2 triệu người dùng của Zalo lên báo nước ngoài
- 70% máy tính và đĩa cài đặt không bản quyền chứa mã độc
- Nasdaq bị phạt 5 triệu USD vì Facebook
- Mẹo chặn ứng dụng chạy ẩn cho Android
- Đua khuyến mãi ‘khủng’ cho smartphone đầu năm
- Hướng dẫn cách để tắt âm thanh bàn phím trên iPhone, iPad
- Microsoft suy nghĩ về việc thay đổi Windows 8
- Các ứng dụng hay cho ‘dế’ yêu trong dịp Tết
- Chúc Tết hài hước với Hoài Linh ‘3 miền’ bằng Zalo
- Dịch vụ nhắn tin miễn phí: Nhà mạng nói thiệt, người dùng được lợi
- Giải mã ‘ngôi vương’ nhắn tin miễn phí của Zalo
- Cách làm đèn flash nháy sáng khi có cuộc gọi hoặc tin nhắn trên iPhone 4S, 5, 5S, 6, 6 Plus, 6S, 6S Plus
- Teen kinh doanh online ‘thời Zalo’
- Bức tranh buồn của làng CNTT Việt Nam 2012
- Rinh quà khi tìm kiếm cùng Wada
Trả lời
Bạn phải đăng nhập để gửi phản hồi.