Un exploit de Viber, utilizado para acceder a teléfonos Android

Un fallo de seguridad en la aplicación de mensajería Viber es utilizado para superar la pantalla de bloqueo en los dispositivos basados en sistema operativo Android.

Viber

25 abril 2013

Un fallo de seguridad en la aplicación de mensajería Viber es utilizado para superar la pantalla de bloqueo en los dispositivos basados en sistema operativo Android.

Si bien la aplicación Viber estaba obteniendo buenos resultados últimamente por parte de los usuarios en la tienda Google Play, donde se indica que se añaden unos 400.000 usuarios cada día, esta ha sufrido un revés después de que la compañía de seguridad Bkav anunciase la detección de una brecha de seguridad en la aplicación de mensajería, por la cual era posible obtener acceso total al dispositivo sin necesidad de que deba de realizarse ninguna acción táctil específica.

El funcionamiento de dicha brecha sobre el dispositivo de la víctima consiste en que el dispositivo de la víctima está bloqueado con Viber instalado y configurado. El teléfono del atacante sólo ha de enviar un mensaje a la víctima, tras lo cual se muestra una alerta en la ventana correspondiente a la pantalla de bloqueo.

Precisamente la acción se aprovecha de la capacidad mostrada por Viber mediante la que es posible contestar un mensaje incluso desde la pantalla de bloqueo. En este caso la activación del teclado es el paso por el que, si el atacante envía un segundo mensaje, al pulsar el botón de 'volver atrás' se gana acceso al teléfono de la víctima. En otros terminales (como el HTC Sensation XE) solo hay que realizar una llamada perdida a la víctima en vez de pulsar el botón 'Volver atrás'.

Según se indica en la información publicada por la empresa de seguridad Bkav, el modo en el que la aplicación Viber gestiona los mensajes emergentes en la pantalla de bloqueo de los teléfonos inteligentes es un tanto inusual, derivando en este fallo de la lógica del programa y resultando en la aparición del fallo.

Si bien Viber fue notificada del fallo por la compañía de seguridad hace una semana, aun no se ha producido ninguna respuesta o actualización en la aplicación. El modo más fácil de evitar el problema, no obstante, consiste en que el terminal no quede fuera del alcance del usuario legítimo en ningún momento.