Here we go again: Viber mobile Messenger-App lässt Nutzerdaten unverschlüsselt
Viber, eine mobile Messenger-App, die es Nutzern ermöglicht, kostenlos zu telefonieren und Textnachrichten und Bilder zu verschicken, gibt auch jede Menge Nutzerdaten an jeden weiter, der zuhören möchte.
Wie Forscher der University of New Haven (UNH) in Connecticut, USA, herausgefunden haben, sendet die Viber-App Nutzernachrichten in unverschlüsselter Form – einschließlich Fotos, Videos, Kritzeleien und Standortbildern.
Alle diese reichhaltigen Daten von Nutzern werden auch unverschlüsselt auf den Servern von Viber gespeichert, anstatt sofort gelöscht zu werden, und sind ohne Zugangsdaten, nur über einen Link, zugänglich, so die UNH-Forscher.
Es ist der zweite kryptografische Fehler, der von UNH-Forschern innerhalb weniger Wochen aufgedeckt wurde – die UNH Cyber Forensics Research & Education Group enthüllte am 13. April 2014, dass die WhatsApp-Messenger-App auch die Standortdaten der Nutzer in unverschlüsselter Form weitergibt.
Mit einem Windows-PC als Wi-Fi-Zugangspunkt war das UNH-Team in der Lage, die von einem Android-Smartphone gesendeten Daten mit normalen Traffic-Sniffing-Tools abzufangen – derselbe Ansatz, den die UNH bei ihren Experimenten mit WhatsApp verwendet hat.
In einem auf der UNH-Website und auf YouTube veröffentlichten Video demonstrieren die Forscher, wie sie die zwischen zwei Android-Telefonen gesendeten Nachrichten abfangen.
Daten können von vergifteten Zugangspunkten, von böswilligen Nutzern im selben Wi-Fi-Netzwerk oder an anderer Stelle im Netzwerk zwischen Ihnen und Viber abgefangen werden.
In dem Video sagte einer der Forscher, dass die unverschlüsselten Nachrichten auch von den Servern von Viber von jedem abgerufen werden können, der die URL der Nachricht kennt:
Die Daten werden auf dem Server von Viber unverschlüsselt gespeichert. Es wird auch keine Authentifizierungsmethode verwendet, so dass jeder, der Zugang zu diesen Links hat, diese Daten ansehen, abrufen und damit tun kann, was er will.
Die Forscher, Dr. Ibrahim Baggili und Jason Moore, sagten in einem Blogbeitrag, dass sie die Sicherheitslücke direkt an Viber gemeldet haben, bevor sie ihre Ergebnisse veröffentlichten, aber „keine Antwort von ihnen erhalten haben.
In einer Erklärung gegenüber CNET sagte Viber, dass es bald einen Fix für Android und iOS veröffentlichen wird und dass das Problem „behoben“ wurde.“
Dieses Problem wurde bereits behoben. Es befindet sich derzeit in der Qualitätssicherung und der Fix wird am Montag für Android veröffentlicht und bei Apple eingereicht. Bis heute ist uns kein einziger Nutzer bekannt, der davon betroffen ist.
Die Tatsache ist, dass eine moderne Online-Messaging-App diese Art von Fehlern nicht wirklich „beheben“ sollte – die Verschlüsselung sollte von Anfang an eingebaut sein.
Und obwohl Viber seine Apps „repariert“ haben mag, um Daten sicher auszutauschen, hat es nichts über die Behebung der Sicherheitslücken gesagt, die UNH in der Viber-Cloud gefunden hat, wo Ihre Nachrichten gespeichert werden.
Das Unternehmen gibt außerdem an, dass nur Android und iOS mit Updates versorgt werden und lässt die Nutzer der zahlreichen anderen unterstützten Plattformen im Dunkeln.
Dazu gehören Nutzer von Viber auf dem Desktop, über Samsungs Bada-Ökosystem, auf verschiedenen mobilen Betriebssystemen von Microsoft und auf Blackberry- und Nokia-Telefonen.
In Anbetracht all dessen klingt die Behauptung von Viber, dass „uns kein einziger Nutzer bekannt ist, der davon betroffen ist“, sehr hohl.
Schließlich hat sich das Unternehmen nicht dafür entschuldigt, dass es diese Probleme in seiner eigenen Qualitätssicherung nicht erkannt hat – und seine Kunden einem unnötigen Risiko ausgesetzt.
Unsichere mobile Apps und Datenschutz
Wie bei der neuen Generation mobiler Messenger-Apps – darunter das Facebook-eigene WhatsApp und die Foto- und Video-Sharing-App Snapchat – nur allzu oft zu beobachten ist, scheint die Sicherheit und der Schutz der Nutzerdaten eine untergeordnete Rolle zu spielen.
Obwohl sowohl WhatsApp als auch Viber erklärten, dass sie daran arbeiten werden, ihre Verschlüsselungsmängel zu beheben, haben diese jungen Unternehmen manchmal eine unbekümmerte und verächtliche Haltung gegenüber dem Datenschutz und der Sicherheit an den Tag gelegt.
Viber, das 2010 gegründet wurde, hatte im vergangenen Jahr eine Reihe weiterer Sicherheitsvorfälle.
Im Juli 2013 gelang es einem Sicherheitsforscher, Pop-up-Benachrichtigungen der Viber-App zu verwenden, um den Sperrbildschirm eines Android-Geräts zu umgehen.
Und im April 2013 wurde die Support-Seite von Viber von der Syrian Electronic Army gehackt, obwohl bei dem Angriff keine Nutzerdaten verloren gingen.
Der Gründer von WhatsApp, Jan Koum, sagte bekanntlich, dass „der Respekt für Ihre Privatsphäre in unserer DNA verschlüsselt ist“, nachdem sein Unternehmen im März von Facebook für 19 Milliarden Dollar aufgekauft wurde.
Das ist eine nette Gesinnung, aber WhatsApp hat wiederholt kryptografische Fehler gemacht, die Nutzerdaten angreifbar machten.
Eine andere schnell wachsende Messenger-App, Snapchat, ignorierte Warnungen von Sicherheitsforschern, dass die App unbegrenzte Abfragen von Nutzertelefonnummern erlaubt – ein Fehler, der dazu führte, dass ein Angreifer 4,6 Millionen Benutzernamen und Telefonnummern online stellte, nachdem Snapchat den Angriff als „theoretisch“ abgetan hatte.“
Als Snapchat gebeten wurde, freiwillig vor einer Kongressanhörung zu Datenschutzverletzungen zu erscheinen, verweigerte es die Aussage, was einen US-Senator zu der Aussage veranlasste, das Unternehmen würde „etwas verheimlichen“
Was ironisch ist, da das Verstecken von Nutzerdaten vor neugierigen Augen nicht zu den Stärken des Unternehmens zu gehören scheint.
Trotz des Versprechens an die Nutzer, dass ihre privaten Nachrichten „für immer verschwinden“ würden, hat Snapchat eingeräumt, dass die Snaps der Nutzer nicht sofort von den Servern oder von den Telefonen der Nutzer gelöscht werden.
Diese beliebten Messenger-Apps mögen zwar kostenlos sein, aber auf Kosten der Privatsphäre ihrer Hunderte Millionen Nutzer.