CRITICAL🇬🇧 English

CVE-2025-13476

Rakuten Viber: statyczny fingerprint TLS umożliwia identyfikację ruchu proxy

CVSS 9.8v3.1pub. 2026-03-05upd. 2026-03-10

Funkcja Cloak mode w aplikacji Rakuten Viber na Android oraz Windows wykorzystuje statyczny i przewidywalny fingerprint TLS ClientHello, pozbawiony różnorodności rozszerzeń. Pozwala to systemom Deep Packet Inspection (DPI) na trywialną identyfikację i blokowanie ruchu proxy, co podważa skuteczność mechanizmu obchodzenia cenzury.

Pokaż oryginał (EN)

Rakuten Viber Cloak mode in Android v25.7.2.0g and Windows v25.6.0.0–v25.8.1.0 uses a static and predictable TLS ClientHello fingerprint lacking extension diversity, allowing Deep Packet Inspection (DPI) systems to trivially identify and block proxy traffic, undermining censorship circumvention. (CWE-327)

🤖 Analiza AI
Jak działa

Przy nawiązywaniu połączenia TLS klient wysyła komunikat ClientHello zawierający m.in. listę obsługiwanych szyfrów i rozszerzeń. W trybie Cloak mode Viber używa zawsze tego samego, statycznego układu tych parametrów, tworząc unikalny i rozpoznawalny fingerprint (znany jako JA3 lub podobny). Systemy DPI mogą porównywać ten fingerprint z sygnaturą aplikacji i bez względu na użyty adres IP czy domenę bezbłędnie rozpoznać ruch jako pochodzący z Viber Cloak mode. W rezultacie operatorzy sieci lub cenzorzy mogą automatycznie blokować taki ruch, całkowicie neutralizując funkcję obchodzenia blokad.

Skutki

Atakujący lub operator sieci stosujący DPI może niezawodnie zidentyfikować i zablokować ruch proxy generowany przez funkcję Cloak mode, pozbawiając użytkowników możliwości obchodzenia cenzury. W środowiskach o restrykcyjnej kontroli sieci naraża to użytkowników na ujawnienie faktu korzystania z narzędzi antycenzurowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Aktualna wersja aplikacji dostępna jest pod adresem https://www.viber.com/en/download/. Zaleca się jak najszybszą aktualizację do wersji zawierającej poprawkę implementującą zróżnicowane rozszerzenia TLS ClientHello.

Kogo dotyczy

Rakuten Viber dla Android w wersji 25.7.2.0g oraz Rakuten Viber dla Windows w wersjach od 25.6.0.0 do 25.8.1.0 (tryb Cloak mode).

Uwagi

Podatność dotyczy wyłącznie funkcji Cloak mode służącej do obchodzenia cenzury — nie umożliwia bezpośredniego przejęcia systemu ani wycieku danych. Pomimo oceny CVSS 9.8 (CRITICAL) rzeczywisty wpływ ogranicza się do naruszenia prywatności i skuteczności antycenzury. Szczegóły techniczne opublikowane w bazie CERT/CC (VU#772695).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Rakuten Viber

    APP
    Rakuten
    9.3.0.625.6.0 – 25.8.1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2020-14049HIGH7.5ten sam produkt

Viber for Windows up to 13.2.0.39 does not properly quote its custom URI handler. A malicious website could la...

CVE-2019-18800HIGH8.8ten sam produkt

Viber through 11.7.0.5 allows a remote attacker who can capture a victim's internet traffic to steal their Vib...

CVE-2019-12569HIGH7.8ten sam produkt

A vulnerability in Viber before 10.7.0 for Desktop (Windows) could allow an attacker to execute arbitrary comm...

CVE-2025-55996MEDIUM6.3ten sam produkt

Viber Desktop 25.6.0 is vulnerable to HTML Injection via the text parameter of the message compose/forward int...

CVE-2018-3987MEDIUM5.5ten sam produkt

An exploitable information disclosure vulnerability exists in the 'Secret Chats' functionality of Rakuten Vibe...