最近,有研究人員發現在 Android 版的 Viber 應用程式有嚴重漏洞。攻擊者並不需要特別的技巧,只要向受害者的手機發送 Viber 訊息,便可利用漏洞,繞過 Android 的螢幕鎖定,直接進入受害人的手機,並使用手機的所有功能。
Viber 是一個在全球擁有一億七千五百萬用戶的流動應用程式。它提供免費短訊、通話和照片發送服務。它的支援平台包括 iOS、Android、Windows Phone 及 BlackBerry。
是次漏洞存在於 Android 版 Viber 版本 2.3.6.338。由於 Viber 的 "解除鎖定彈出式視窗" 功能產生錯誤,攻擊者可利用 Viber 的彈出訊息功能,在鎖定畫面上喚出訊息,然後按返回鍵,便能將手機解鎖。由於這漏洞由程式所引致,因此不同手機牌子和 Android 系統版本也會受影響。
HKCERT 建議使用者盡快更新應用程式至版本 3.0.0.1686 及好好保管自己的手機。另外,使用者亦可在設定中關閉 "解除鎖定彈出式視窗" 功能,以防止漏洞被利用。
方法1:更新至最新的 Viber 版本 (3.0.0.1686)
https://play.google.com/store/apps/details?id=com.viber.voip
方法2:關閉 "解除鎖定彈出式視窗" 功能
圖) 在「更多」的分頁 > 設定 > 不點選 "解除鎖定彈出式視窗"
想了解更多有關手機的使用安全,可參考 HKCERT 的
流動手機安全指南。