Start Aktuell Sicherheitslücke in Voice-over-IP-App Viber ermöglicht Entsperren des Lock-Screens

Sicherheitslücke in Voice-over-IP-App Viber ermöglicht Entsperren des Lock-Screens

User der beliebten Skype-Alternative Viber — nach den Statistiken des Play Store sind das bis zu 100 Millionen Android-User — müssen damit rechnen, dass ihr Handy trotz der Nutzung eines Lock-Screens mit PIN-Code oder Entsperrmuster in nur wenigen Sekunden entsperrt werden kann. Dazu muss der Angreifer nur die Handy-Nummer kennen.

Viber ist praktisch das WhatsApp für alle, denen kurze Textnachrichten nicht reichen. Anhand der Handy-Nummer vermittelt der Dienst Gespräche von Handy zu Handy, die allerdings über die Datenleitung geführt werden, dadurch entstehen keine Gesprächskosten — so lange das Inklusivvolumen des Handyvertrags ausreicht oder ein WLAN mit Flatrate genutzt wird.

Die App muss ähnlich wie WhatsApp kritisch gesehen werden, da sie sich tief ins Android-System einklinkt. Die Liste der von Viber bei der Installation angeforderten Android-Rechte ist lang, fast endlos lang. Insgesamt benötigt die App 46 unterschiedliche Rechte, das Entsperren des Lock-Screens wird für Viber nun zum Sicherheitsrisiko.

Die amerikanische IT-Sicherheits-Firma Bkav hat die Problematik im Zusammenspiel mit diversen älteren und aber auch top-aktuellen Androiden untersucht. Dazu gehören das HTC Sensation XE, das Samsung Galaxy S2, wie auch das Sony Xperia Z und das Google Nexus 4 mit Android 4.2.2. Über den Empfang einer Nachrichtung ein ein paar simplen Tricks wird das angegriffene Handy entsperrt und den Angreifer erhält vollen Zugriff auf das System.

 

 
 
 

Viber hat über seinen Twitter-Account bereits reagiert. Die Entwickler kennen die Problematik und arbeiten an einer Lösung. Bis ein Update der App über den Play Store verteilt wird, empfielt Viber das Entsperren des Lock-Screens beim Eintreffen einer Nachricht in den Einstellungen der App zu deaktivieren. Auf den hauseigenen Support-Seiten hat Viber eine bebilderte Anleitung dazu ins Netz gestellt.

Quelle: Bkav

Kommentiere den Artikel

Please enter your comment!
Please enter your name here