Un fallo de Viber permite a los hackers eludir la pantalla de bloqueo en ....

Iniciado por wolfbcn, 24 Abril 2013, 02:07 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Los expertos de la empresa de seguridad Bkav han identificado una vulnerabilidad en Viber – la popular aplicación que permite a los usuarios hacer llamadas, enviar mensajes de texto y fotos gratuitamente. El agujero de seguridad podría ser aprovechado para omitir la pantalla de bloqueo en los smartphones con Android y obtener acceso completo al dispositivo.

Según las cifras del sitio web de Viber y de Google Play, aproximadamente 100 millones de usuarios podrían ser afectados por el problema.

¿Cómo funciona el ataque?

Hay tres pasos principales:

1) Enviar un mensaje de Viber a la víctima;
2) Hacer que aparezca el teclado de Viber en el dispositivo de destino mediante la realización de algunas acciones con mensaje emergentes;
3) Una vez que haya aparecido el teclado, se debe crear una llamada perdida o se debe presionar el botón "Atrás".

En este momento, la pantalla de bloqueo debería estar desbloqueada, dando al atacante acceso completo al dispositivo.

Este tercer paso depende del dispositivo de destino. En el HTC Sensation XE, se debe crear una llamada perdida en el paso 3 para desbloquear la pantalla, mientras que en el Samsung Galaxy S2, Google Nexus 4 y Sony Xperia Z, se debe presionar el botón Atrás.

"La manera en que Viber logra hacer que aparezcan mensajes emergentes en la pantalla de bloqueo de los smartphones es inusual, dando por resultado su incapacidad de controlar la lógica de programación y causando la aparición del fallo", señaló el Sr. Nguyen Minh Duc, director de la división de seguridad de Bkav.

Viber fue notificada por Bkav con respecto a la vulnerabilidad la semana pasada, pero hasta ahora, la empresa de seguridad no ha recibido ninguna respuesta.

Puesto que se trata de un ataque local, los usuarios pueden protegerse asegurándose de no dejar sus dispositivos a la vista. Si Viber corrige el error, no os olvidéis de actualizar la aplicación a la variante más reciente.

Mira los videos POC publicados por Bkav para Nexus 4, Xperia Z, Galaxy S2 y Sensation XE:

http://www.youtube.com/watch?feature=player_embedded&v=JQhNMJpAlto

http://www.youtube.com/watch?feature=player_embedded&v=gSB1MvGFfB4

http://www.youtube.com/watch?feature=player_embedded&v=rScheIQDD0k

http://www.youtube.com/watch?feature=player_embedded&v=tb4y_1cz8WY

http://news.softpedia.es/Un-fallo-de-Viber-permite-a-los-hackers-eludir-la-pantalla-de-bloqueo-en-smartphones-con-Android-Video-347834.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

Viber

Hi,
I am an official representative from Viber Media.

We care a lot about our users' security. We worked around the clock to fix this security glitch and already a few days ago we released a fixed version for this problem. It is available for download at: http://download.viber.com/viber.apk

We kindly ask that you update your article and let your users know of this important news. We will of course make sure that such glitches do not reoccur.

For any other questions/concerns, please don't hesitate to contact us.

the Viber Team.
================================
Hola,
Yo soy un representante oficial de Viber Media.

Nos preocupamos mucho por la seguridad de nuestros usuarios. Trabajamos día y noche para solucionar este fallo de seguridad, y ya hace unos días lanzamos una versión fija para este problema. Está disponible para su descarga en: http://download.viber.com/viber.apk

Le pedimos que actualice su artículo y que los usuarios sepan de esta importante noticia. Por supuesto, vamos a asegurarnos de que estos fallos no se repitan.

Para cualquier otra pregunta / preocupaciones, por favor no dude en contactar con nosotros.

el Equipo de Viber.

EFEX

Cabe destacar su preocupación por la seguridad de su aplicación y concientizar a los usuarios  ;-).
GITHUB