Volete prendere controllo dello smartphone di un vostro amico per fargli un bello scherzo o sbirciare nei suoi messaggi o file, senza che lui ne sia a conoscenza? È molto facile, basta scegliere una vittima dalla lista dei vostri contatti Viber e aspettare che lasci il dispositivo incustodito: il lock screen verrà saltato in pochi istanti. Per chi non lo sapesse, Viber è un'app che permette di mandare messaggi, chattare ed effettuare chiamate online tramite la connessione dati del cellulare senza pagare credito telefonico, un po' come WhatsApp o Skype, ed è molto diffusa dato che annovera oltre 175 milioni di utenti in tutto il mondo.
Programmare le App senza seguire le api ufficiali può garantire alcune comode scorciatoie, ma anche esporre il produttore a brutte figure epiche.
Purtroppo, un ricercatore dell'azienda di sicurezza Bkav ha trovato un errore di programmazione estremamente grossolano da parte degli sviluppatori di Viber: basta inviare tramite la medesima app un messaggio sullo smartphone della vittima e la notifica dell'avvenuto sms farà aprire un pop-up sul terminale desiderato che bypassa completamente il lock screen dello smartphone ricevente. Il processo per sfruttare l'exploit non è sempre il medesimo, ma si basa sulla stessa falla di programmazione, dovuta proprio a come Viber gestisce la logica dei suoi pop-up di notifica. Basta vedere ad esempio in questo video come sia facile accedere ad un Samsung Galaxy Note 2
Il direttore della divisione di sicurezza di Bkav, Nguyen Minh Duc spiega come “il modo con cui Viber gestisce il popup dei suoi messaggi sopra al lock screen degli smartphone è inusuale e finisce per creare una falla importante nella sicurezza”. Bkav ha già parlato dell'exploit Martedì e lo ha prontamente segnalato a Viber, senza però ricevere alcuna risposta da parte della compagnia. La società di sicurezza, come noi del resto, suggerisce di non lasciare il vostro smartphone incustodito per nessun motivo, preoccupandovi di aggiornare immediatamente l'app di messaggistica appena vedrete comparire su Google Play una patch che risolva... questo scivolone.