Video: CARA MELIHAT ORANG YANG MENCOBA MEMBUKA KUNCI POLA HP ANDA (Desember 2024)
Aplikasi perpesanan Viber telah mengumpulkan momentum di Google Play, tetapi eksploitasi baru mungkin membuat pengguna berhenti. Hanya beberapa hari yang lalu, perusahaan keamanan Bkav mengumumkan bahwa mereka telah menemukan cara untuk mendapatkan akses penuh ke ponsel Android menggunakan aplikasi pesan Viber yang populer.
Tidak seperti masalah Samsung lockscreen yang kami laporkan sebelumnya, serangan ini tidak membutuhkan kerja jari yang bagus. Alih-alih, yang dibutuhkan hanyalah dua ponsel, keduanya menjalankan Viber, dan nomor telepon.
Begini cara kerjanya. Ponsel korban dikunci, tetapi Viber telah diinstal dan diatur. Telepon penyerang mengirim pesan kepada korban, yang memunculkan jendela peringatan di layar kunci. Salah satu fitur unik Viber adalah Anda dapat merespons bahkan ketika ponsel terkunci, dan mengaktifkan keyboard Viber adalah langkah selanjutnya dalam serangan itu.
Setelah keyboard aktif di ponsel korban, penyerang mengirim pesan lain. Kali ini, tekan tombol kembali pada ponsel korban, dan tiba-tiba Anda memiliki akses penuh ke ponsel korban.
Menurut Bkav, masalah ini bermula dari cara Viber berinteraksi dengan layar kunci Android. Direktur divisi keamanan BKav, Nguyen Minh Duc menjelaskan di situs web perusahaan, "cara Viber menangani untuk mem-popup pesan-pesannya di layar kunci ponsel pintar adalah tidak biasa, mengakibatkan kegagalannya mengendalikan logika pemrograman, menyebabkan cacat muncul."
Bkav menulis bahwa mereka telah menghubungi Viber tentang masalah ini, tetapi belum menerima tanggapan. Pada saat penulisan, umpan Twitter dan akun Facebook untuk Viber telah diam selama lebih dari satu hari.
Bkav memiliki beberapa video exploit yang sedang beraksi di situs web mereka.
Seberapa Berbahaya Apakah Ini?
Meskipun mengejutkan melihat layar penguncian Android begitu mudah dielakkan, kenyataannya eksploitasi ini membutuhkan dua hal yang tidak dimiliki kebanyakan penyerang. Pertama, mereka membutuhkan akses fisik ke ponsel Anda. Tanpa ponsel Anda, tidak masalah apakah itu terkunci atau dibuka karena penyerang tidak bisa melakukan apa - apa.
Kedua, penyerang perlu memiliki informasi pengguna Viber Anda untuk mengirimi Anda pesan. Bahkan jika ponsel Anda dicuri dan penyerang entah bagaimana tahu bahwa Anda adalah pengguna Viber, mereka masih perlu mengirim pesan kepada ponsel tertentu Anda.
Kedua faktor ini sangat membatasi potensi penyerang, belum lagi fakta bahwa ada jutaan pengguna Android dan hanya beberapa yang menggunakan Viber. Seperti sebagian besar eksploit ini, hal itu menimbulkan sedikit ancaman bagi sebagian besar pengguna.
Menurut pendapat saya, bahaya sebenarnya di sini adalah bahwa pengembang Viber tidak tahu atau tidak peduli bahwa exploit itu ada di aplikasi mereka - dan mereka pasti tidak sendirian dalam hal ini. Meskipun sulit untuk memiliki jaminan kualitas total untuk aplikasi apa pun, terutama untuk pengembang Android yang memiliki banyak variasi perangkat keras dan sistem operasi untuk dipertimbangkan, pengembang masih perlu menjaga keamanan dalam pikiran ketika mereka mendorong keluar aplikasi mereka.
Memperbarui:
Talmon Marco, pemilik Viber, menulis di bagian komentar kami bahwa perusahaan menanggapi masalah ini dengan sangat serius.
"Kami benar-benar peduli terhadap masalah ini. Kami telah menginvestasikan sumber daya yang signifikan dalam memastikan layanan Viber aman dan cukup kecewa dengan bug ini. Kami sedang meneliti ini dan akan mengeluarkan perbaikan minggu depan (kami ingin memastikan bahwa kami tidak melanggar apa pun dalam proses memperbaiki ini)."
Dalam percakapan email pagi ini, Marco mengatakan kepada SecurityWatch bahwa patch akan tersedia di situs web Viber hari ini. Pembaruan lengkap melalui Google Play akan tersedia di masa mendatang.
Pembaruan 2:
Viber telah memberi tahu kami bahwa APK yang ditambal tersedia untuk diunduh.