Una empresa de seguridad advirtió que la mensajería en Viber y la aplicación de Android VOIP permite a un atacante evadir el bloqueo de la pantalla. Bkav demostró que la falla de una serie de dispositivos Android en el envío de un mensaje al teléfono de la víctima usando Viber abre una ventana emergente que aparecerá sobre la pantalla bloqueada para que se pueda responder al mensaje. En ese momento, Bkav muestra una serie de manipulaciones, dependiendo del dispositivo, como mostrar las notificaciones, que terminan con pulsar el botón de atrás y en ese momento el dispositivo de la víctima mostrará la pantalla principal de Android.
Si un atacante tiene la posesión física del teléfono y el propietario del dispositivo instaló Viber, entonces esto haría posible que el atacante pueda desbloquearlo. Viber cuenta con una base de 175 millones de usuarios, aunque no está claro cuántos de ellos están en los dispositivos, Viber para Android se ejecuta en una amplia variedad de sistemas operativos y dispositivos móviles.
Cuando se instalan, las aplicaciones de Android pueden solicitar permiso para desbloquear temporalmente un dispositivo. El permiso está diseñado para permitir a los usuarios interactuar con una aplicación, como la aplicación de teléfono, para contestar una llamada o responder a mensajes de texto sin tener que desbloquear primero el teléfono. Sin embargo, se supone que la aplicación puede volver a habilitar el bloqueo inmediatamente después. Viber pide este permiso, entre la gran cantidad de permisos que la aplicación requiere, por lo que puede presentar los mensajes en la pantalla de bloqueo. Al parecer, se confunde con las distintas manipulaciones y se pierde la pista de su estado. En los foros, hay discusiones acerca de problemas con la función y la lógica de cuándo y cómo haría un pop-up.
Pero la característica «pop-up and reply” no es obligatoria, es sólo un defecto. Si los usuarios entran a las configuraciones, encontrarán la opción «Desbloqueo de pop-ups”, que puede desactivar el comportamiento de desbloqueo y dejar que la aplicación sólo entregue pop-ups normales no interactivos o notificaciones de nuevos mensajes. En respuesta a las revelaciones de Bkav, Viber haaconsejado a los usuarios a hacer exactamente eso desactivar el ”Desbloqueo de pop-ups” mientras trabaja en solucionar el problema. La compañía dice que espera ofrecer una versión corregida de la aplicación la próxima semana.
[Via]