Vidéo: [HACK] Un expert en sécurité pirate un appareil Android à distance (Novembre 2024)
L'application de messagerie Viber prend de l'ampleur sur Google Play, mais un nouvel exploit pourrait donner aux utilisateurs une pause. Il y a quelques jours à peine, la société de sécurité Bkav a annoncé qu'elle avait trouvé un moyen d'obtenir un accès complet aux téléphones Android à l'aide de la célèbre application de messagerie Viber.
Contrairement au problème de lockscreen de Samsung que nous avons signalé précédemment, cette attaque ne nécessite aucun travail minutieux. Au lieu de cela, il suffit de deux téléphones, tous deux sous Viber, et d'un numéro de téléphone.
Voilà comment cela fonctionne. Le téléphone de la victime est verrouillé, mais Viber est installé et configuré. Le téléphone de l'attaquant envoie un message à la victime, ce qui ouvre une fenêtre d'alerte sur l'écran de verrouillage. L'une des caractéristiques uniques de Viber est que vous pouvez répondre même lorsque le téléphone est verrouillé, et l'activation du clavier Viber constitue l'étape suivante de l'attaque.
Une fois le clavier actif sur le téléphone victime, l’attaquant envoie un autre message. Cette fois-ci, appuyez sur le bouton de retour du téléphone de la victime et vous avez tout à coup accès au téléphone de la victime.
Selon Bkav, le problème découle de la manière dont Viber interagit avec le lockscreen Android. Nguyen Minh Duc, directeur de la division sécurité de BKav, a expliqué sur le site Web de la société: "La façon dont Viber gère l'affichage de ses messages sur l'écran de verrouillage des smartphones est inhabituelle, ce qui l'empêche de contrôler la logique de programmation, provoquant ainsi l'apparition de la faille".
Bkav écrit qu'ils ont contacté Viber à propos du problème, mais n'ont pas reçu de réponse. Au moment de la rédaction de cet article, le fil Twitter et les comptes Facebook de Viber sont restés silencieux pendant plus d'une journée.
Bkav a plusieurs vidéos de l'exploit en action sur leur site web.
Est-ce dangereux?
Bien qu'il soit choquant de voir le lockscreen Android si facilement contourné, la réalité est que cet exploit nécessite deux choses que la plupart des attaquants n'ont pas. Tout d'abord, ils auraient besoin d'un accès physique à votre téléphone. Sans votre téléphone, peu importe qu'il soit verrouillé ou déverrouillé, l'attaquant ne pouvant rien faire .
Deuxièmement, un attaquant devrait disposer des informations de votre utilisateur Viber pour vous envoyer un message. Même si votre téléphone avait été volé et que l'attaquant savait que vous étiez un utilisateur de Viber, il aurait quand même besoin d'envoyer un message à votre téléphone.
Ces deux facteurs limitent considérablement le pool potentiel d’agresseurs, sans oublier le fait qu’il existe des millions d’utilisateurs Android et que seuls quelques-uns utilisent Viber. Comme la plupart de ces exploits, il pose peu de risques pour la plupart des utilisateurs.
À mon avis, le vrai danger ici est que les développeurs de Viber ne savaient pas ou ne se souciaient pas que l'exploit existait dans leur application - et ils ne sont sûrement pas les seuls à le faire. Bien qu'il soit difficile d'obtenir une assurance qualité totale pour une application, en particulier pour les développeurs Android qui doivent prendre en compte une myriade de variantes matérielles et de systèmes d'exploitation, les développeurs doivent toujours garder à l'esprit la sécurité lorsqu'ils déploient leurs applications.
Mise à jour:
Talmon Marco, le propriétaire de Viber, a écrit dans la section commentaires que l'entreprise prenait ces préoccupations très au sérieux.
"Nous nous préoccupons réellement de ce problème. Nous avons investi des ressources considérables pour nous assurer que le service Viber est sécurisé et sommes assez déçus par ce bogue. Nous sommes en train de faire une recherche à ce sujet et publierons un correctif la semaine prochaine (nous voulons nous assurer que nous ne brise rien en train de réparer cela)."
Dans une conversation par courrier électronique ce matin, Marco a déclaré à SecurityWatch qu'un correctif serait disponible sur le site Web de Viber plus tard dans la journée. Une mise à jour complète via Google Play sera disponible à une date ultérieure.
Mise à jour 2:
Viber nous a informés que le fichier APK corrigé est disponible au téléchargement.
