Viber sblocca i telefoni Android senza permesso

Questo articolo era stato pubblicato inizialmente il 26/04/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione. È stato inoltre aggiornato dopo la pubblicazione iniziale.

Viber è un’app molto popolare per iPhone, Android e altri smartphone che permette di mandare messaggi e foto e fare chiamate gratuitamente. È usata da circa 175 milioni di persone, ma secondo la società di sicurezza informatica Bkav ha un difetto di sicurezza che è meglio conoscere: permette di scavalcare la password degli smartphone Android sui quali è installata.

Non si tratta di un attacco sfruttabile via Internet: l’aspirante intruso deve mettere materialmente le mani sul telefono. Però la falla rende possibile accedere a tutto il contenuto dello smartphone anche se l’apparecchio è stato bloccato con una password.

La tecnica è semplice: si manda alla vittima una serie di messaggi Viber fino a che compare, sullo smartphone della vittima, la tastiera dell'app. A questo punto si fa una telefonata normale alla vittima oppure si preme il tasto di ritorno (la procedura dipende dal modello specifico di smartphone) e il telefonino si sblocca senza dover immettere la password che in teoria lo protegge.

Per ora non è stata ancora distribuita una versione aggiornata di Viber che risolva questo difetto, per cui è consigliabile, almeno per il momento, disinstallare Viber oppure non perdere mai di vista il proprio telefonino o lasciarlo usare ad altri, almeno fino a quando non ci sarà l’aggiornamento correttivo.

AGGIORNAMENTO (2013/04/26): Viber ha pubblicato una versione aggiornata che risolve il problema.