Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ในแอพ Viber ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึงข้อมูลในมือถือระบบปฎิบัติการ Android

วันที่ประกาศ: 30 เมษายน 2556
ปรับปรุงล่าสุด: 30 เมษายน 2556
เรื่อง: ระวังภัย ช่องโหว่ในแอพ Viber ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึงข้อมูลในมือถือระบบปฎิบัติการ Android

ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

Viber เป็นโปรแกรมแชทบนมือถือที่มีความสามารถส่งข้อความหรือโทรศัพท์ฟรี คล้ายกับแอปพลิเคชัน Line ที่ได้รับความนิยมสูง โดยมีผู้ใช้มากกว่า 50,000,000 คน และสามารถติดตั้งบนระบบปฎิบัติการที่ได้รับความนิยมอย่าง Android, IOS และ Windows Phone [1]

บริษัท Bkav ได้ค้นพบช่องโหว่ในแอปพลิเคชัน Viber รุ่นที่ใช้งานกับระบบปฏิบัติการ Andriod ซึ่งช่องโหว่นี้มีผลทำให้ผู้ไม่หวังดีผ่านการป้องกัน lock screen และสามารถเข้าถึงข้อมูลในมือถือบนระบบปฎิบัติการ Android โดยมีการเผยแพร่รายละเอียดของช่องโหว่ผ่านเว็บไซต์ของบริษัท ในการเข้าถึงข้อมูลมือถือผ่านช่องโหว่นี้ ผู้ไม่หวังดีต้องสามารถเข้าถึงเครื่องมือถือของเหยื่่อทางกายภาพ เช่น เหยื่ออาจจะลืมมือถือไว้บนโต๊ะ ซึ่งระบบปฏิบัติการบนมือถือนั้นต้องเป็น Android และมีการติดตั้งแอปพลิเคชัน Viber และผู้ไม่หวังดีต้องรู้เบอร์มือถือของเหยื่อเพื่อที่จะส่งข้อความไปยัง Viber บนเครื่องของเหยื่อ โดยเครื่องของเหยื่อไม่จำเป็นต้องมี contact ของผู้ไม่หวังดีใน contact list แต่อย่างใด จากนั้นผู้ไม่หวังดีอาศัยความผิดพลาดของแอปพลิเคชันในส่วนของการแจ้งเตือนเมื่อได้รับข้อความ ซึ่งปกติจะมีลักษณะดังรูปที่ 1 ทำให้สามารถผ่าน lock screen ได้โดยอาศัยเงื่อนไขบางประการ ดังรายละเอียดที่ระบุในเว็บไซต์ของผู้ค้นพบช่องโหว่นี้ [2]


รูปที่ 1 แสดงการแจ้งเตือนเมื่อได้รับข้อความของ Viber

ผลกระทบ

ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึงข้อมูลบนมือถือระบบปฎิบัติการ Android ได้

ระบบที่ได้รับผลกระทบ

ผู้ใช้งานมือถือระบบปฎิบัติการ Android ที่ติดตั้งแอปพลิเคชัน Viber

ข้อแนะนำในการป้องกันและแก้ไข

ยังไม่มีวิธีการแก้ไขจาก Viber ในเรื่องของช่องโหว่นี้ ผู้ที่ติดตั้ง Viber ควรเก็บมือถือไว้กับตัวและไม่ควรให้คนอื่นยืม และทำการอัพเดท Viber เพื่อปิดช่องโหว่เมื่อมีการปล่อยอัพเดทในอนาคต

อ้างอิง

  1. http://www.viber.com
  2. http://www.bkav.com/top-news/-/view_content/content/46264/critical-flaw-in-viber-allows-full-access-to-android-smartphones-bypassing-lock-screen

Clear