Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/05/2013
Salt de la pantalla de bloqueig a Android a través de Viber
L’aplicació de missatgeria i VoIP Viber afig un mètode (dels que han aparegut en els telèfons intel·ligents en els últims mesos) per a eludir la pantalla de bloqueig, esta vegada només per a sistemes Android. La fallada és provocada per un mal control del bloqueig de la pantalla. Viber Media ja ha publicat una nova versió que ho soluciona.Viber és una aplicació de missatgeria i VoIP per a telèfons intel·ligents que permet realitzar telefonades utilitzant la xarxa Wi-Fi o 3G. També permet compartir amb altres usuaris imatges, vídeo, àudio i informació de posicionament. Hi ha versions per a iOS, Android, Windows Phone (inclosa la versió 8) i Symbian, entre altres. La xarxa de Viber va aconseguir 175 milions d’usuaris entre tots els sistemes el febrer passat.
La firma de seguretat vietnamita Bkav ha descobert una fallada en el maneig del bloqueig de pantalla realitzat per Viber. Esta fallada pot permetre a un atacant que tinga accés físic al dispositiu eludir la pantalla de bloqueig i així tindre accés total al sistema.
Per a això, només és necessari saber el contacte de la víctima i que esta tinga Viber instal·lat en el seu terminal. Així, es poden enviar missatges a través de la missatgeria de l’aplicació al dispositiu, fer aparéixer el teclat i, a través de distints passos dependents del terminal, desbloquejar-lo sense necessitat de conéixer la combinació de seguretat.
La fallada es deu a un mal ús dels permisos de l’aplicació. Hi ha un permís que permet a les aplicacions desactivar el bloqueig (per exemple, per a respondre a una telefonada entrant). Viber fa ús d’este permís, però pareix fallar en el control del bloqueig quan es realitzen estes accions.
Bkav ha publicat una sèrie de vídeos on demostren l’explotació de l’error. Per exemple, per a Google Nexus 4 i HTC Sensation XE:
http://www.youtube.com/watch?&v=JQhNMJpAlto
http://www.youtube.com/watch?v=gSB1MvGFfB4
Viber Media ja ha posat a la disposició dels usuaris la versió 2.7, que soluciona este problema. No obstant això, esta actualització no està disponible a través de Google Play, per això els usuaris del servici hauran de descarregar el paquet de l’aplicació directament des de l’enllaç que s’ha proporcionat a este efecte.
http://helpme.viber.com/index.php?/Knowledgebase/Article/View/409/60/viber-unlocks-screen
Per a més seguretat en el futur, és possible desactivar el comportament predeterminat de finestra emergent per als missatges a través de les opcions de l’aplicació.
Sistemes Afectats:Viber anteriors a 2.3.7 per a Android
Referències:None
Solució:Actualitzar a la versió 2.3.7
Notes: