Viber: Sicherheitslücke umgeht PIN-Sperre
Der Primus der Messenger ist zweifelsohne das für verschiedene Plattformen erhältliche WhatsApp, was etliche Millionen Nutzer bestätigen können. Mittlerweile hat sich zwar eine ansehnliche Konkurrenz aufbauen können aber empfindlich getroffen ist WhatsApp davon noch nicht. Zwar wird immer wieder der eher laxe Umgang mit Sicherheitslücken bemängelt aber auch die Konkurrenz ist davor nicht gefeit.
Im letzten Jahr haben etliche Meldungen zu Sicherheitslücken im beliebten Messenger-Dienst WhatsApp die Runde gemacht. Neben dem recht einfachen kapern eines Accounts über Hoax-Nachrichten bis hin zum Auslesen der Chats, WhatsApp sah sich schon mit einigen Vorwürfen konfrontiert. Das aber auch die Konkurrenz ist vor teils eklatanten Sicherheitslücken alles andere als gefeit, wie derzeit das Beispiel von Viber zeigt. Eines vorne weg: Die Entwickler von Viber haben ein Update bereits angekündigt, welches so schnell wie möglich verteilt werden soll. In diesem Punkt unterscheiden sich Viber-Entwickler doch gravierend von den WhatsApp-Entwicklern, die teils Monate zum Schließen einer Sicherheitslücke brauchten.
Simple Funktion mit fataler Wirkung
Aber zurück zum Fehler, von welchem Viber heimgesucht wird. Das heimtückische daran: Angreifer erhalten dadurch vollen Zugriff auf das Android-Smartphone, indem einfach die PIN-Abfrage von Android umgangen werden kann. (Unfreiwillig) Erfolgreich getestet wurde das Vorgehen auf Smartphones der Hersteller Samsung, HTC, Sony Mobile und selbst die Nexus-Smartphones von Google sind betroffen, also die versammelte Android-Mannschaft wenn man so will.
Zum erfolgreichen Ausnutzen der Sicherheitslücke braucht ein potentieller Angreifer das Gerät selbst in der Hand, per Fernzugriff ist das glücklicherweise nicht möglich. Der Angreifer schickt zum umgehen der PIN-Abfrage eine ganz simple Nachricht per Viber an das Opfer, was eine bestimmte Aktion auslöst. Das eigentlich Fatale daran ist die Tatsache, dass das Smartphone direkt auf den Homescreen des Gerätes schaltet, ohne vorheriger PIN-Abfrage zum entsperren. Bis das Update von den Entwicklern über den Play Store ausgeliefert werden kann, raten die Entwickler zu einem Workaround. Dieser sieht die Deaktivierung der Popup-Benachrichtigungen von Viber vor, um den fatalen Fehler nicht ausnutzen zu können.
Wieso kann eine App eine Aktion auslösen, die so etwas zuläßt. Hier sollte Google auch noch mal genauer hinsehen. Denn das darf eigentlich nicht sein, das schlampig programmierte Apps den Sicherheitsschutz des gesamten Systems aushebelt.