Viber dính lỗ hổng cho phép qua mặt màn hình khóa điện thoại Android

Công ty an ninh mạng Bkav vừa đưa ra cảnh báo ứng dụng nhắn tin gọi điện miễn phí Viber dính lỗ hổng nghiêm trọng cho phép hacker truy cập và kiểm soát toàn bộ điện thoại Android cài đặt ứng dụng này cả khi điện thoại đó bị khóa màn hình. Theo công ty Bkav, điện thoại Android của tất cả các thương hiệu phổ biến như Samsung, Sony và HTC cài đặt Viber đều có nguy cơ bị lợi dụng.

Viber là ứng dụng nhắn tin và gọi điện miễn phí được dùng phổ biến trên điện thoại hiện nay. Ứng dụng này hiện có 175 triệu người dùng trên toàn cầu và có khoảng 4 triệu người dùng ở Việt Nam. Theo thống kê của kho ứng dụng Google Play, Viber hiện có từ 50-100 triệu người dùng cài đặt. Còn theo thông báo của Viber, ứng dụng này có khoảng 400.000 người dùng mới mỗi ngày. Như vậy, có thể thấy số lượng người dùng điện thoại Android có nguy cơ bị khai thác lỗ hổng trên Viber là rất lớn.

Theo công ty Bkav, cách khai thác lỗ hổng của Viber khá là đơn giản mặc dù có vài sự khác biệt nhỏ giữa các loại máy khác nhau. Tất cả những gì hacker cần có là hai điện thoại đều cài đặt Viber và có gắn SIM. Thông qua vài thao tác trên cửa sổ thông báo tin nhắn của Viber trên màn hình khóa kết hợp với vài mẹo như sử dụng thanh thông báo của điện thoại hoặc tin nhắn Viber khác, hacker có thể kiểm soát toàn bộ điện thoại và sử dụng điện thoại của nạn nhân như bình thường.

Viber có lỗ hổng cho phép qua mặt màn hình khóa dễ dàng

Cụ thể, theo phát hiện của Bkav, hacker cần gửi tin nhắn tới số điện thoại nạn nhân (đang bị khóa màn hình) để tạo ra cửa sổ thông báo có tin nhắn mới trên màn hình khóa. Một trong những tính năng độc đáo của Viber là bạn có thể trả lời cả khi điện thoại bị khóa màn hình, do đó hacker có thể kích hoạt bàn phím của Viber trên điện thoại bị khóa màn hình.; Sau đó, hacker tiếp tục tạo ra một gọi lỡ từ Viber vào điện thoại của nạn nhân rồi bấm phím Back để qua mặt hoàn toàn màn hình khóa của điện thoại và sử dụng máy điện thoại của nạn nhân như bình thường.

Trong thử nghiệm của Bkav, các điện thoại Galaxy S II, Nexus 4, Sony Xperia Z và HTC Sensation XE cài đặt Viber đã bị qua mặt nhanh chóng trong khoảng một phút.

Theo Bkav, lỗ hổng này xuất phát từ cách Viber tương tác với màn hình của điện thoại Android. "Cách Viver xử lý để hiển thị thông báo tin nhắn trên màn hình khóa của smartphone Android là không bình thường, cho nên họ không kiểm soát được logic lập trình, dẫn đến lỗ hổng", ông Nguyễn Minh Đức, giám đốc công ty an ninh mạng Bkav Security nói.

Bkav cho biết họ đã thông báo cho nhà sản xuất Viber nhưng hiện chưa nhận được phản hồi. Trong khi chờ nhà sản xuất đưa ra bản lổ hổng, người dùng nên quản lý điện thoại cẩn thận và theo dõi thông tin để cập nhật bản vá kịp thời cho ứng dụng Viber.

Khai thác lỗ hổng trên Viber để qua mặt màn hình khóa của Samsung Galaxy S II

Khai thác lỗ hổng trên Viber để qua mặt màn hình khóa của HTC Sensation XE

Khai thác lỗ hổng trên Viber để qua mặt màn hình khóa của Nexus 4

TP