Here we go again: Viber mobile messenger app leaves user data unencrypted – Naked Security Here we go again:

máj 19, 2021
admin

viber-app-170A Viber, a mobil üzenetküldő alkalmazás, amely lehetővé teszi a felhasználók számára, hogy ingyenesen telefonáljanak, szöveges üzeneteket és képeket küldjenek, rengeteg ingyenes felhasználói adatot is kiad bárkinek, aki hallgatózni akar.

A Connecticut állambeli New Haven Egyetem (UNH) kutatói szerint a Viber alkalmazás titkosítatlanul küldi a felhasználói üzeneteket – beleértve a fényképeket, videókat, firkákat és helymeghatározó képeket.

A felhasználók összes ilyen gazdag adatát szintén titkosítatlanul tárolják a Viber szerverein, ahelyett, hogy azonnal törölnék őket, és hitelesítő adatok nélkül, csak egy linkre kattintva érhetők el – közölték az UNH kutatói.

Ez már a második titkosítási baklövés, amelyet az UNH kutatói lelepleztek néhány héten belül – az UNH Cyber Forensics Research & Education Group 2014. április 13-án hozta nyilvánosságra, hogy a WhatsApp üzenetküldő alkalmazás szintén titkosítatlan formában adja ki a felhasználók helymeghatározási adatait.

A Windows PC-t Wi-Fi hozzáférési pontként használva az UNH csapata képes volt egy Android okostelefon által küldött adatok rögzítésére a szokásos adatforgalmi szimatoló eszközökkel, ugyanezt a megközelítést alkalmazta az UNH a WhatsApp-al végzett kísérletei során.

A kutatók az UNH weboldalán és a YouTube-on közzétett videóban bemutatták a két teszt Android telefon között küldött üzenetek rögzítését.

Az adatok lehallgathatók mérgezett hozzáférési pontokon, rosszindulatú felhasználók által ugyanazon a Wi-Fi hálózaton vagy máshol a hálózatban az Ön és a Viber között.

A videóban az egyik kutató elmondta, hogy a titkosítatlan üzeneteket a Viber szervereiről is lekérheti bárki, aki ismeri az üzenet URL-címét:

Az adatokat titkosítatlanul tárolják a Viber szerverén. Hitelesítési módszert sem használnak, így bárki, akinek hozzáférése van ezekhez a linkekhez, megnézheti ezeket az adatokat, lekérheti ezeket az adatokat, és azt csinálhat velük, amit akar.

A kutatók, Dr. Ibrahim Baggili és Jason Moore blogbejegyzésükben elmondták, hogy eredményeik közzététele előtt közvetlenül a Vibernek jelentették a biztonsági hibát, de “nem kaptak választ tőlük.”

A CNET-nek adott nyilatkozatában a Viber közölte, hogy hamarosan kiadja a javítást Androidra és iOS-re, és azt mondta, hogy a problémát “megoldották.”

Ezt a problémát már megoldották. Jelenleg a minőségbiztosításban van, és a javítást hétfőn adják ki Androidra, és benyújtják az Apple-nek. A mai napig nincs tudomásunk egyetlen olyan felhasználóról sem, akit ez érintett volna.”

A tény az, hogy egy modern online üzenetküldő alkalmazásnak nem igazán kellene “javítania” az ilyen bakikat – a titkosítást már a kezdetektől fogva be kellett volna építeni.”

És mindazok ellenére, hogy a Viber most már “kijavította” az alkalmazásait a biztonságos adatcsere érdekében, nem mondott semmit a bizonytalanságok kezeléséről, amelyeket az UNH talált a Viber felhőjében, ahol az üzeneteket tárolják.

A vállalat azt is felsorolja, hogy csak az Android és az iOS kap frissítéseket, így a számos más támogatott platform felhasználóit a sötétben hagyja.

Ez magában foglalja a Viber asztali számítógépen, a Samsung Bada ökoszisztémáján keresztül, a Microsoft különböző mobil operációs rendszerein, valamint a Blackberry és Nokia telefonokon használókat.

Mindezeket figyelembe véve a Viber állítása, miszerint “nem tudunk egyetlen olyan felhasználóról sem, akit ez érintett volna”, nagyon üresen cseng.

Ezek után a vállalat nem vette a fáradságot, hogy bocsánatot kérjen, amiért nem vette észre ezeket a problémákat a saját minőségbiztosítása során – és felesleges kockázatnak tette ki ügyfeleit.

Hibás mobilalkalmazások és adatvédelem

whatsapp-viber-snapchatAmint az újfajta mobil messenger-alkalmazások – köztük a Facebook tulajdonában lévő WhatsApp és a Snapchat fotó- és videómegosztó alkalmazás – esetében is egyre gyakoribbá válik, úgy tűnik, a felhasználói adatok biztonsága és védelme háttérbe szorul.

Noha mind a WhatsApp, mind a Viber azt mondta, hogy dolgozni fognak a titkosítási mulasztások kijavításán, ezek a fiatal cégek időnként könnyelmű és lenéző hozzáállást tanúsítottak az adatvédelemmel és a biztonsággal szemben.

A 2010-ben alapított Vibernek az elmúlt évben volt még néhány biztonsági incidense.

2013 júliusában egy biztonsági kutatónak sikerült a Viber alkalmazás felugró értesítéseit felhasználva megkerülnie a zárolási képernyőt egy androidos eszközön.

A 2013 áprilisában pedig a Viber támogatási oldalát a Szíriai Elektronikus Hadsereg feltörte, bár a támadás során nem vesztek el felhasználói adatok.

A WhatsApp alapítója, Jan Koum közismerten azt mondta, hogy “a magánélet tiszteletben tartása a DNS-ünkbe van kódolva”, miután cégét márciusban 19 milliárd dollárért felvásárolta a Facebook.

Ez szép gondolat, de a WhatsApp többször is elkövetett olyan kriptográfiai baklövéseket, amelyek miatt a felhasználói adatok sebezhetővé váltak.

Egy másik gyorsan növekvő üzenetküldő alkalmazás, a Snapchat figyelmen kívül hagyta a biztonsági kutatók figyelmeztetéseit, miszerint az alkalmazás korlátlan keresést tesz lehetővé a felhasználók telefonszámaiban – ez a hiba vezetett ahhoz, hogy egy támadó 4,6 millió felhasználónevet és telefonszámot dobott ki az internetre, miután a Snapchat “elméletinek” minősítette a támadást.”

Amikor felkérték, hogy önként jelenjen meg egy kongresszusi meghallgatáson az adatvédelmi incidensekről, a Snapchat megtagadta a vallomástételt, aminek következtében az egyik amerikai szenátor azt mondta, hogy a vállalat “rejteget valamit.”

Ami ironikus, mivel a felhasználói adatok elrejtése a kíváncsi szemek elől nem tűnik a vállalat egyik erősségének.

A Snapchat a felhasználóknak tett ígéretei ellenére, miszerint a privát üzeneteik “örökre eltűnnek”, elismerte, hogy a felhasználói Snaps nem törlődnek azonnal a szervereikről vagy a felhasználók telefonjáról.

Ezek a népszerű üzenetküldő alkalmazások talán ingyenesek, de több százmillió felhasználójuk magánéletének az árán.

Most ingyenesen...

Most ingyen…

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.