Una app defectuosa es como una infección, que se expande por toda la población, y para la que a veces incluso las mejores prácticas no sirven para nada. Algo así ha pasado con Viber, un programa que permite llamadas y mensajes gratuitos, una mas de las decenas de aplicaciones parecidas que aparecen cada mes en Google Play, y que por una razón o por otra encuentra un nicho de mercado, con unos usuarios fieles que son suficientes para mantenerla a flote. Y no estoy hablando de un par de amigos. 100 millones de descargas no son pocas, así que la situación cobra incluso mas importancia cuando se descubre una falla de seguridad.
En este caso un bug en el sistema de notificaciones de mensajes nuevos de Viber permite saltarse la protección del bloqueo de pantalla. La manera de explotar este bug depende del dispositivo, pero en general cualquier usuario que use Android debería alejarse de esta app si valora su privacidad. En el vídeo que vemos a continuación, podemos ver el exploit en funcionamiento con un Samsung Galaxy S II.
Como vemos, el proceso es bastante simple. Basta con mandar un mensaje al móvil de la víctima con Viber, y el sistema de notificaciones de la app se encargará de abrir el teclado, y a partir de ahí solo tenemos que pulsar «atrás» para entrar en el escritorio del sistema. Hay que dejar claro que éste NO es un bug de Android, sino que es problema de la app, por saltarse la protección del bloqueo de pantalla. De hecho, entre los permisos de Viber se encuentra uno específicamente para este menester.
Por tanto, ¿es culpa de los usuarios por permitir una app que utiliza este tipo de permisos? Yo no diría tanto. Cuando aceptamos los permisos de una aplicación, es cierto que aceptamos los riesgos que estos conllevan, pero al mismo tiempo es el trabajo de los desarrolladores aprovecharlos de la manera mas segura posible. Aceptar los permisos nunca debería ser el equivalente a permitir el «todo vale». La compañía desarrolladora de Viber ya ha anunciado que está trabajando en una nueva versión que soluciona el problema, y mientras tanto ha compartido una solución: desactivar los avisos de nuevo mensaje.
Si hay algo que debemos aprender de toda esta debacle, es que los bugs de seguridad son tan inevitables como la gripe. Solo con buenas prácticas entre los desarrolladores y conciencia entre los usuarios será posible ver menos casos como este.
Fuente | Ars Technica