Funkcja Cloak mode w aplikacji Rakuten Viber na Android oraz Windows wykorzystuje statyczny i przewidywalny fingerprint TLS ClientHello, pozbawiony różnorodności rozszerzeń. Pozwala to systemom Deep Packet Inspection (DPI) na trywialną identyfikację i blokowanie ruchu proxy, co podważa skuteczność mechanizmu obchodzenia cenzury.
▸ Pokaż oryginał (EN)
Rakuten Viber Cloak mode in Android v25.7.2.0g and Windows v25.6.0.0–v25.8.1.0 uses a static and predictable TLS ClientHello fingerprint lacking extension diversity, allowing Deep Packet Inspection (DPI) systems to trivially identify and block proxy traffic, undermining censorship circumvention. (CWE-327)
Przy nawiązywaniu połączenia TLS klient wysyła komunikat ClientHello zawierający m.in. listę obsługiwanych szyfrów i rozszerzeń. W trybie Cloak mode Viber używa zawsze tego samego, statycznego układu tych parametrów, tworząc unikalny i rozpoznawalny fingerprint (znany jako JA3 lub podobny). Systemy DPI mogą porównywać ten fingerprint z sygnaturą aplikacji i bez względu na użyty adres IP czy domenę bezbłędnie rozpoznać ruch jako pochodzący z Viber Cloak mode. W rezultacie operatorzy sieci lub cenzorzy mogą automatycznie blokować taki ruch, całkowicie neutralizując funkcję obchodzenia blokad.
Atakujący lub operator sieci stosujący DPI może niezawodnie zidentyfikować i zablokować ruch proxy generowany przez funkcję Cloak mode, pozbawiając użytkowników możliwości obchodzenia cenzury. W środowiskach o restrykcyjnej kontroli sieci naraża to użytkowników na ujawnienie faktu korzystania z narzędzi antycenzurowych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Aktualna wersja aplikacji dostępna jest pod adresem https://www.viber.com/en/download/. Zaleca się jak najszybszą aktualizację do wersji zawierającej poprawkę implementującą zróżnicowane rozszerzenia TLS ClientHello.
Rakuten Viber dla Android w wersji 25.7.2.0g oraz Rakuten Viber dla Windows w wersjach od 25.6.0.0 do 25.8.1.0 (tryb Cloak mode).
Podatność dotyczy wyłącznie funkcji Cloak mode służącej do obchodzenia cenzury — nie umożliwia bezpośredniego przejęcia systemu ani wycieku danych. Pomimo oceny CVSS 9.8 (CRITICAL) rzeczywisty wpływ ogranicza się do naruszenia prywatności i skuteczności antycenzury. Szczegóły techniczne opublikowane w bazie CERT/CC (VU#772695).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HRakuten Viber
APPRakuten9.3.0.625.6.0 – 25.8.1.0
Powiązane podatności
Viber for Windows up to 13.2.0.39 does not properly quote its custom URI handler. A malicious website could la...
Viber through 11.7.0.5 allows a remote attacker who can capture a victim's internet traffic to steal their Vib...
A vulnerability in Viber before 10.7.0 for Desktop (Windows) could allow an attacker to execute arbitrary comm...
Viber Desktop 25.6.0 is vulnerable to HTML Injection via the text parameter of the message compose/forward int...
An exploitable information disclosure vulnerability exists in the 'Secret Chats' functionality of Rakuten Vibe...