비디오: Cmok,Cmok,Cmok HAHAHAHAHAHA (십월 2024)
Viber 메시징 앱이 Google Play에서 추진력을 모으고 있지만 새로운 익스플로잇으로 인해 사용자가 일시 중지 할 수 있습니다. 며칠 전 보안 회사 Bkav는 인기있는 Viber 메시징 앱을 사용하여 Android 전화에 대한 모든 액세스 권한을 얻는 방법을 찾았다 고 발표했습니다.
이전에보고 한 삼성 잠금 화면 문제와 달리이 공격은 별다른 노력을 기울이지 않습니다. 대신 Viber를 실행하는 두 대의 전화와 전화 번호 만 있으면됩니다.
작동 방식은 다음과 같습니다. 대상 전화가 잠겨 있지만 Viber가 설치 및 설정되어 있습니다. 공격자 전화가 피해자에게 메시지를 보내면 잠금 화면에 경고 창이 나타납니다. Viber의 고유 한 기능 중 하나는 전화가 잠겨있는 동안에도 응답 할 수 있으며 Viber 키보드를 활성화하는 것이 공격의 다음 단계입니다.
대상 전화에서 키보드가 활성화되면 공격자가 다른 메시지를 보냅니다. 이번에는 대상 전화의 뒤로 단추를 누르면 갑자기 대상 전화에 완전히 액세스 할 수 있습니다.
Bkav에 따르면이 문제는 Viber가 Android 잠금 화면과 상호 작용하는 방식에서 비롯된 것입니다. BKav의 보안 부서 책임자 Nguyen Minh Duc은 회사 웹 사이트에서 "스마트 폰의 잠금 화면에서 메시지를 팝업하기 위해 Viber가 처리하는 방식이 비정상적이므로 프로그래밍 로직을 제어하지 못해 결함이 발생하게된다"고 설명했다.
Bkav는 Viber에 문제에 대해 문의했지만 응답을받지 못했다고 말합니다. 글을 쓰는 시점에서 Viber의 Twitter 피드와 Facebook 계정은 하루 이상 침묵했습니다.
Bkav는 웹 사이트에서 실제로 악용에 대한 몇 가지 비디오를 보유하고 있습니다.
이것이 얼마나 위험한가요?
안드로이드 잠금 화면이 너무 쉽게 우회되는 것을 보는 것은 충격적이지만, 실제로이 공격은 대부분의 공격자가 가지고 있지 않은 두 가지를 필요로합니다. 먼저, 그들은 귀하의 휴대 전화에 물리적으로 액세스해야합니다. 휴대 전화가 없으면 공격자 가 아무것도 할 수 없기 때문에 잠금 상태인지 잠금 해제 상태인지는 중요하지 않습니다.
둘째, 공격자는 메시지를 보내려면 Viber 사용자 정보가 있어야합니다. 휴대 전화를 도난 당하고 공격자가 어떻게 든 Viber 사용자라는 사실을 알고 있어도 특정 휴대 전화에 메시지를 보내야합니다.
이 두 가지 요소는 잠재적 인 공격자 수를 크게 제한하며 수백만 명의 Android 사용자가 있으며 Viber를 사용하는 사람도 있다는 사실은 말할 것도 없습니다. 이러한 공격 대부분과 마찬가지로 대부분의 사용자에게는 거의 위협이되지 않습니다.
제 생각에, 여기의 진짜 위험은 Viber 개발자들이 자신의 앱에 익스플로잇이 존재한다는 사실을 알지 못하거나 신경 쓰지 않았다는 것입니다. 모든 앱, 특히 무수한 하드웨어 및 운영 체제 변형을 고려해야하는 Android 개발자의 경우 전체 품질 보증이 어렵지만 개발자는 앱을 푸시 할 때 보안을 염두에 두어야합니다.
최신 정보:
Viber의 소유자 인 Talmon Marco는 회사가 이러한 우려를 매우 심각하게 다루고 있다고 의견 섹션에 썼습니다.
"실제로이 문제에 대해 _do_ 걱정합니다. Viber 서비스의 보안을 유지하고이 버그에 상당히 실망하는 데 상당한 리소스를 투자했습니다. 현재이 문제를 연구하고 있으며 다음 주 언젠가 수정 프로그램을 발행 할 것입니다. 이 문제를 해결하는 과정에서 아무것도 깨뜨리지 않았습니다."
오늘 아침 이메일 대화에서 Marco는 SecurityWatch에 오늘 나중에 Viber 웹 사이트에서 패치를 사용할 수 있다고 말했습니다. 향후 Google Play를 통한 전체 업데이트가 제공 될 예정입니다.
업데이트 2:
Viber는 패치 된 APK를 다운로드 할 수 있다고 알려주었습니다.
