Handy - Navigation "Viber"-App hebelt Sperrbildschirm aus

Die Skype-ähnliche App Viber hat sich als Hintertür zu gesperrten Android-Smartphones entpuppt. Schnappen sich Angreifer oder neugierige Freunde ein in der Nähe liegendes Android-Smartphone, müssen sie entweder eine Pop-Up-Nachricht oder einen Viber-Anruf abwarten oder selbst dafür sorgen, dass dies geschieht – etwa, indem sie das gesperrte Gerät von einem anderen Smartphone aus via Viber anrufen. Nach ein paar Handbewegungen behält das Telefon dann keine Geheimnisse mehr für sich.
Wie die Sicherheitsfirma Bkav bekannt gibt, betrifft die Schwachstelle Android-Smartphones von Herstellern wie etwa Samsung, Sony oder HTC. Die Sicherheitslücke ergibt sich aus der Art wie Viber seine Pop-Up-Nachrichten erscheinen lässt. Die Nachrichten erscheinen auch dann, wenn der Sperrbildschirm aktiv ist.
So kann ein HTC Sensation XE über einen Anruf und damit forcierte Push-Benachrichtigungen und einige Pop-Up-Nachrichten entsperrt werden. Das Samsung Galaxy SII benötigt sogar nur die Pop-Up-Nachrichten, um nach ein paar schnellen Fingerbewegungen ungeschützt zu sein.
So simpel die Lücke auszunutzen ist, so einfach kann sie momentan auch geschlossen werden. Nutzer können die Pop-Up-Nachrichten in den Einstellungen deaktivieren. Die Viber-Entwickler haben einen Patch für die nächste Woche angekündigt. Die rund 100.000 Nutzer der Android-App sollten diesen dann schnell einspielen.
In letzter Zeit wurden mehrere Sicherheitslücken für Smartphones bekannt, die lediglich durch ein wenig Fingerfertikeit auszunutzen waren. So weisen etwa Samsung-Smartphones schwerwiegende Sicherheitslücken auf, die den Sperrbildschirm umgehen lassen. Eine Schwachstelle in Apples iPhones ermöglichtTelefonate und den Zugriff auf Fotos und Kontakte ohne Passcode.

heise-security

 

[DocKugelfisch]

Viber schließt Sperrbildschirmlücke, aber noch nicht für alle

Die Messaging- und VoIP-App "Viber" hat ein Update erhalten, welches Fehler behebt, durch die sich der Sperrbildschirm aushebeln ließ – allerdings ist das Update nicht über den Google Play Store zu beziehen. Die Entwickler haben die neue Version 2.3.7 lediglich im Helpdesk auf der Viber-Homepage veröffentlicht und entschuldigen sich dort für alle Unannehmlichkeiten. Über Google Play ist hingegen nur die ältere Version 2.3.6.338 zugänglich.
Vermutlich will Viber so einigen verärgerten Kunden entgegenkommen, die ihren Frust bereits in Online-Foren abgeladen haben. Alle andere Kunden werden dahingen wohl erst mit dem bereits angekündigten großen Update versorgt – oder das Update 2.3.7 wird von Google Play noch geprüft. Für all diejenigen, die die anhaltenden Diskussionen über Probleme mit dem Sperrbildschirm bisher nicht mitbekommen haben, heißt dies allerdings auch, dass sie weiterhin eine Viber-Version nutzen, die das Knacken des Sperrbildschirms äußerst einfach macht.
Kommen Pop-Up-Nachrichten über Viber an, lässt sich dies ausnutzen. Angreifer können Opfern Nachrichten schicken oder sie anrufen und mit ein wenig Fingerfertigkeit den Sperrbildschirm umgehen. Erhalten Viber-Kunden Nachrichten, während das Smartphone gerade in der Hosentasche ist, reichen auch schon ein paar Bewegungen, um ungewollt Anrufe zu tätigen oder andere Funktionen zu aktivieren.

heise-security.de