Here we go again: Viber モバイル メッセンジャー アプリはユーザー データを暗号化せずに残す
Viber は、ユーザーが無料で電話をかけたりテキスト メッセージや画像を送信できるモバイル メッセンジャー アプリですが、聞こうと思えば誰でも無料でたくさんのユーザー データを提供します。
米国コネチカット州のニュー ヘブン大学(UNH)の研究者によると、Viber のアプリでは写真、動画、落書き、位置画像などのユーザー メッセージを暗号化していない状態で送信するそうです。
ユーザーからのそのリッチなデータはすべて、すぐに削除されるのではなく、Viberのサーバーに暗号化されずに保存され、認証情報なしで、リンクだけでアクセスできると、UNHの研究者は述べています。
これは、この数週間でUNH研究者が暴露した2番目の暗号の失態です。UNHサイバー・フォレンジクス研究&教育グループは、WhatsAppメッセンジャーアプリもユーザーのロケーションデータを非暗号化の状態で提供すると2014年4月13日に公開しています。
WindowsPCをWi-Fiアクセスポイントとして使用し、UNHチームは通常のトラフィック スニフィング ツールでAndroidスマートフォンから送信されたデータをキャプチャすることができましたが、これはUNHがWhatsAppの実験で行ったのと同じアプローチです。
UNHウェブサイトとYouTubeに投稿されたビデオで、研究者は2つのテストAndroid電話間で送信されたメッセージのキャプチャを実演しています。
データは、ポイズンされたアクセス ポイント、同じ Wi-Fi ネットワーク上の悪意のあるユーザー、またはユーザーと Viber の間のネットワークの別の場所で傍受できます。
ビデオの中で研究者の 1 人が、暗号化されていないメッセージもメッセージ URL を知っていれば誰でも Viber のサーバーから取得することができる、と述べています:
The data is stored in Viber’s server in unencrypted manner…(データは Viber サーバに非暗号化で保存されます。 また、認証方法も使用されていないため、これらのリンクにアクセスできる人なら誰でも、このデータを見たり、このデータを取得したり、好きなことをしたりできます。
研究者の Dr Ibrahim Baggili と Jason Moore はブログ投稿で、結果を発表する前に Viber にセキュリティ欠陥を直接報告したが、「彼らからの応答はなかった」と述べました。”
ViberはCNETへの声明の中で、AndroidとiOS向けに近日中に修正版をリリースすると述べ、この問題は「解決済み」であるとしました。”
This issue has already been resolved.”(この問題はすでに解決済みです。 現在 QA にあり、修正版は Android 用にリリースされ、月曜日に Apple に提出される予定です。 今日現在、この影響を受けたユーザーは 1 人もいません。
実際のところ、最新のオンライン メッセージング アプリは、この種の失態を「修正」するべきではなく、暗号化は最初から組み込まれていたはずです。
また、同社はアップデートを予定しているのは Android と iOS だけであり、その他多数のサポート対象プラットフォームのユーザーは暗闇の中に取り残されています。
これらのことを考慮すると、「この影響を受けたユーザーには気づいていない」という Viber の主張は、非常に空虚に聞こえます。
漏れたモバイル アプリとデータ プライバシー
Facebook が所有する WhatsApp や写真・動画共有アプリ Snapchat など、新しいタイプのモバイル メッセンジャー アプリでは、ユーザー データのセキュリティとプライバシーは後回しにされているようなことがあまりにも普通になってきています。
WhatsAppとViberの両社は、暗号化の過失を修正するよう努力すると述べていますが、これらの若い企業は、データ プライバシーとセキュリティに対して軽率で軽蔑的な態度を示していることがあります。
2013年7月、セキュリティ研究者が、Viber アプリからのポップアップ通知を使用して、Android デバイスのロック画面を回避することに成功しました。
また2013年4月には、Viber のサポート ページがシリア電子軍によってハッキングされましたが、この攻撃でユーザー データが失われることはありませんでした。
WhatsAppの創設者Jan Koumは、3月にFacebookに190億ドルで買収された後、「ユーザーのプライバシー尊重は我々のDNAにコード化されている」と述べたことは有名です。
これは素晴らしい感情ですが、WhatsAppはユーザーデータを脆弱にした暗号の失敗を繰り返してきました。
もうひとつの急成長中のメッセンジャー アプリである Snapchat は、アプリがユーザーの電話番号を無制限に検索できるというセキュリティ研究者の警告を無視しました。「データ漏洩に関する議会の公聴会に自発的に出席するよう求められたとき、Snapchat は証言を拒否したため、ある米国上院議員は同社が「何かを隠している」と言いました。
プライベートなメッセージは「永遠に消える」とユーザーに約束したにもかかわらず、Snapchat は、ユーザーのスナップが同社のサーバーやユーザーの電話からすぐには削除されないことを認めています。
これらの人気メッセンジャー アプリは無料ですが、数億人のユーザーのプライバシーに対する代償としています。