Here we go again: Viber mobile messenger app leaves user data unencrypted – Naked Security Here we go again: Viber-mobiiliviestisovellus jättää käyttäjätiedot salaamattomiksi
Viber, mobiiliviestisovellus, jonka avulla käyttäjät voivat soittaa puheluita ja lähettää tekstiviestejä ja kuvia ilmaiseksi, luovuttaa myös runsaasti ilmaista käyttäjätietoa kenelle tahansa kuuntelijalle.
Yhdysvaltalaisessa Connecticutissa sijaitsevan New Havenin yliopistossa (UNH) työskentelevien tutkijoiden mukaan Viberin sovellus lähettää käyttäjien viestejä salaamattomina – mukaan lukien valokuvia, videoita, doodleja ja sijaintikuvia.
Kaikki tämä käyttäjiltä saatu runsas tieto tallennetaan myös salaamattomana Viberin palvelimille sen sijaan, että se poistettaisiin välittömästi, ja siihen pääsee käsiksi ilman tunnuksia, vain linkin kautta, kertoivat UNH:n tutkijat.
Se on toinen UNH:n tutkijoiden paljastama salaustekninen kömmähdys samassa määrässä viikkoja – UNH:n kyber- ja rikostekninen tutkimusryhmä (Cyber Forensics Research & Education Group & Education Group) paljasti 13. huhtikuuta 2014, että Whatsappin messenger-sovellus luovuttaa myös käyttäjien sijaintitietoja salaamattomassa muodossaan.
Käyttämällä Windows-tietokonetta Wi-Fi-yhteyspisteenä UNH:n ryhmä pystyi kaappaamaan Android-älypuhelimen lähettämät tiedot tavallisilla liikenteen haistelutyökaluilla, eli samalla tavalla kuin UNH:n kokeiluissa WhatsAppin kanssa.
UNH:n verkkosivustolla ja YouTubessa julkaistulla videolla tutkijat esittelivät, kuinka he kaappasivat kahden testattavan Android-puhelimen välillä lähetetyt viestit.
Tiedot voidaan siepata myrkytetyillä yhteyspisteillä, samassa Wi-Fi-verkossa olevilla pahantahtoisilla käyttäjillä tai muualla käyttäjän ja Viberin välisessä verkossa.
Videolla yksi tutkijoista kertoi, että salaamattomia viestejä voi myös hakea Viberin palvelimilta kuka tahansa, joka tuntee viestin URL-osoitteen:
Dataa tallennetaan Viberin palvelimelle salaamattomana. Mitään todennusmenetelmää ei myöskään käytetä, joten kuka tahansa, jolla on pääsy näihin linkkeihin, voi katsoa näitä tietoja, hakea nämä tiedot ja tehdä niillä mitä haluaa.
Tutkijat, tohtori Ibrahim Baggili ja Jason Moore, kertoivat blogikirjoituksessaan, että he ilmoittivat tietoturva-aukosta suoraan Viberille ennen tulostensa julkaisemista, mutta ”eivät saaneet heiltä vastausta”.”
CNETille antamassaan lausunnossa Viber kertoi julkaisevansa korjauksen pian Androidille ja iOS:lle ja sanoi, että ongelma on ”ratkaistu.”
Tämä ongelma on jo ratkaistu. Se on parhaillaan QA:ssa, ja korjaus julkaistaan Androidille ja toimitetaan Applelle maanantaina. Tähän mennessä emme ole tietoisia yhdestäkään käyttäjästä, johon tämä on vaikuttanut.”
Tosiasiassa modernin verkkoviestisovelluksen ei pitäisi oikeastaan ”korjata” tällaista kömmähdystä – salaus olisi pitänyt olla sisäänrakennettuna alusta alkaen.”
Ja kaikesta siitä huolimatta, että Viber on ehkä ”korjannut” sovelluksiaan niin, että ne vaihtavat nyt tietoja turvallisesti, se ei ole sanonut mitään siitä, että se puuttuisi UNH:n löytämiin epävarmuustekijöihin, jotka löytyivät Viberin pilvipalvelusta, jossa viestejäsi säilytetään.
Yhtiö myös listaa vain Androidin ja iOS:n saavan päivityksiä, jättäen lukuisten muiden tuettujen alustojen käyttäjät pimentoon.
Tämä koskee Viberin käyttäjiä työpöydällä, Samsungin Bada-ekosysteemin kautta, Microsoftin eri mobiilikäyttöjärjestelmissä sekä Blackberry- ja Nokia-puhelimissa.
Viberin väite, että ”emme ole tietoisia yhdestäkään käyttäjästä, johon tämä on vaikuttanut”, kuulostaa kaiken tämän huomioon ottaen hyvin ontolta.
Loppujen lopuksi yhtiö ei vaivautunut pyytämään anteeksi sitä, että se ei huomannut näitä ongelmia omassa laadunvalvonnassaan – ja että se asetti asiakkaansa tarpeettomaan vaaraan.
Vuotavat mobiilisovellukset ja tietosuoja
Kuten on käymässä aivan liian tavalliseksi uudenlaisten mobiiliviestisovellusten – kuten Facebookin omistaman WhatsAppin ja valokuvien ja videoiden jakamissovelluksen Snapchatin – kohdalla, tietoturva ja käyttäjätietojen yksityisyys näyttävät jääneen taka-alalle.
Vaikka sekä WhatsApp että Viber sanoivat tekevänsä töitä korjatakseen salauspuutteitaan, ajoittain nämä nuoret yritykset ovat osoittaneet välinpitämätöntä ja halveksivaa suhtautumista tietosuojaan ja tietoturvaan.
Viber, joka on perustettu vuonna 2010, on kokenut pari muutakin tietoturvaloukkausta viime vuoden aikana.
Heinäkuussa 2013 tietoturvatutkija onnistui käyttämään Viber-sovelluksen ponnahdusilmoituksia Android-laitteen lukitusnäytön ohittamiseen.
Huhtikuussa 2013 Syrian Electronic Army hakkeroi Viberin tukisivun, vaikka hyökkäyksessä ei menetetty käyttäjätietoja.
WhatsAppin perustaja Jan Koum sanoi tunnetusti, että ”yksityisyytesi kunnioittaminen on koodattu DNA:han” sen jälkeen, kun Facebook osti hänen yhtiönsä 19 miljardilla dollarilla maaliskuussa.
Tämä on hieno tunne, mutta WhatsApp on tehnyt toistuvasti kryptografisia kömmähdyksiä, jotka ovat jättäneet käyttäjätiedot alttiiksi.
Toinen nopeasti kasvava messenger-sovellus, Snapchat, jätti huomiotta tietoturvatutkijoiden varoitukset siitä, että sovellus mahdollisti rajoittamattoman haun käyttäjien puhelinnumeroista – virhe, joka johti siihen, että hyökkääjä dumppasi 4,6 miljoonaa käyttäjätunnusta ja puhelinnumeroa verkkoon sen jälkeen, kun Snapchat hylkäsi hyökkäyksen ”teoreettisena”.”
Kun Snapchatia pyydettiin esiintymään vapaaehtoisesti kongressin kuulemisessa tietomurroista, se kieltäytyi todistamasta, mikä sai erään yhdysvaltalaisen senaattorin sanomaan, että yhtiö ”piilottelee jotain.”
Mikä on ironista, sillä käyttäjätietojen piilottelu uteliailta katseilta ei näytä kuuluvan yhtiön vahvuuksiin.
Huolimatta käyttäjille antamistaan lupauksista, joiden mukaan heidän yksityisviestinsä ”katoavat ikuisiksi ajoiksi”, Snapchat on myöntänyt, että käyttäjien snäppejä ei poisteta heti palvelimilta tai käyttäjien puhelimista.
Nämä suositut messenger-sovellukset voivat olla ilmaisia, mutta niiden satojen miljoonien käyttäjien yksityisyydensuojan kustannuksella.