Viber, een mobile messenger app waarmee gebruikers gratis kunnen bellen en sms’en en afbeeldingen kunnen versturen, geeft ook veel gratis gebruikersgegevens prijs aan iedereen die maar wil luisteren.

Volgens onderzoekers van de University of New Haven (UNH) in Connecticut, VS, verstuurt de app van Viber gebruikersberichten in onversleutelde vorm – inclusief foto’s, video’s, doodles en locatiebeelden.

Al die rijke gegevens van gebruikers worden ook onversleuteld opgeslagen op de servers van Viber, in plaats van onmiddellijk te worden verwijderd, en zijn toegankelijk zonder referenties, alleen een link, zeiden de UNH-onderzoekers.

Het is de tweede cryptografische blunder die UNH-onderzoekers in evenveel weken hebben blootgelegd – de UNH Cyber Forensics Research & Education Group onthulde op 13 april 2014 dat de WhatsApp messenger-app ook locatiegegevens van gebruikers in onversleutelde vorm weggeeft.

Met behulp van een Windows-pc als een Wi-Fi-toegangspunt was het UNH-team in staat om gegevens op te vangen die werden verzonden door een Android-smartphone met reguliere traffic sniffing-tools, dezelfde aanpak die UNH heeft gebruikt in hun experimenten met WhatsApp.

In een video geplaatst op de UNH-website en YouTube, demonstreerden de onderzoekers het vastleggen van berichten die werden verzonden tussen twee test-Android-telefoons.

Gegevens kunnen worden onderschept door vergiftigde toegangspunten, door kwaadwillende gebruikers op hetzelfde Wi-Fi-netwerk, of elders in het netwerk tussen jou en Viber.

In de video zei een van de onderzoekers dat de onversleutelde berichten ook kunnen worden opgehaald van de servers van Viber door iedereen die de URL van het bericht kent:

De gegevens worden onversleuteld opgeslagen op de server van Viber. Er wordt ook geen authenticatiemethode gebruikt, dus iedereen die toegang heeft tot deze links kan naar deze gegevens kijken, deze gegevens opvragen en ermee doen wat hij wil.

De onderzoekers, dr. Ibrahim Baggili en Jason Moore, zeiden in een blogpost dat ze het beveiligingslek rechtstreeks aan Viber hadden gemeld voordat ze hun resultaten publiceerden, maar dat ze “geen reactie van hen hebben ontvangen.”

In een verklaring aan CNET zei Viber dat het binnenkort een fix zou uitbrengen voor Android en iOS, en zei dat het probleem is “opgelost.”

Dit probleem is al opgelost. Het bevindt zich momenteel in QA en de oplossing wordt maandag vrijgegeven voor Android en ingediend bij Apple. Tot op heden is er geen enkele gebruiker bekend die hier last van heeft.

Het feit is dat een moderne online messaging-app dit soort blunders eigenlijk niet zou moeten “repareren” – encryptie had vanaf het begin al ingebakken moeten zijn.

En ondanks dat Viber zijn apps heeft “gerepareerd” om gegevens veilig uit te wisselen, heeft het nog niets gezegd over het aanpakken van de onveiligheden die UNH heeft gevonden in de cloud van Viber, waar je berichten worden opgeslagen.

Het bedrijf vermeldt ook dat alleen Android en iOS updates krijgen, waardoor gebruikers van zijn talrijke andere ondersteunde platforms in het donker blijven.

Dit omvat gebruikers van Viber op de desktop, via Samsung’s Bada-ecosysteem, op de verschillende mobiele besturingssystemen van Microsoft en op Blackberry- en Nokia-telefoons.

Met dit alles in het achterhoofd klinkt de bewering van Viber dat “we ons niet bewust zijn van een enkele gebruiker die hierdoor is getroffen” erg hol.

Het bedrijf heeft immers niet de moeite genomen om zich te verontschuldigen voor het feit dat het deze problemen niet heeft opgemerkt in zijn eigen QA – en zijn klanten onnodig in gevaar heeft gebracht.

Lekke mobiele apps en gegevensprivacy

Zoals maar al te gebruikelijk wordt bij de nieuwe lichting mobiele messenger-apps – waaronder het Facebook-eigendom WhatsApp en de foto- en video-sharing-app Snapchat – lijkt de beveiliging en privacy van gebruikersgegevens een bijzaak te zijn.

Hoewel zowel WhatsApp als Viber zeiden dat ze zullen werken om hun encryptie-overtredingen te verhelpen, hebben deze jonge bedrijven soms een cavalier en minachtende houding ten opzichte van gegevensprivacy en veiligheid tentoongespreid.

Viber, opgericht in 2010, heeft het afgelopen jaar een paar andere beveiligingsincidenten gehad.

In juli 2013 slaagde een beveiligingsonderzoeker erin pop-upmeldingen van de Viber-app te gebruiken om het vergrendelingsscherm op een Android-apparaat te omzeilen.

En in april 2013 werd de ondersteuningspagina van Viber gehackt door het Syrian Electronic Army, hoewel er geen gebruikersgegevens verloren gingen bij de aanval.

WhatsApp’s oprichter Jan Koum zei beroemd dat “respect voor uw privacy in ons DNA is gecodeerd”, nadat zijn bedrijf in maart voor $ 19 miljard door Facebook werd opgekocht.

Dat is een mooi sentiment, maar WhatsApp heeft herhaaldelijk cryptografische blunders gemaakt die gebruikersgegevens kwetsbaar maakten.

Een andere snelgroeiende messenger-app, Snapchat, negeerde waarschuwingen van beveiligingsonderzoekers dat de app onbeperkte zoekopdrachten naar telefoonnummers van gebruikers toestond – een fout die ertoe leidde dat een aanvaller 4,6 miljoen gebruikersnamen en telefoonnummers online dumpte nadat Snapchat de aanval als “theoretisch” had afgedaan.”

Toen Snapchat werd gevraagd om vrijwillig te verschijnen voor een hoorzitting van het Congres over datalekken, weigerde het te getuigen, waardoor een Amerikaanse senator zei dat het bedrijf “iets verborg.”

Wat ironisch is, omdat het verbergen van gebruikersgegevens voor nieuwsgierige ogen niet een van de sterke punten van het bedrijf lijkt te zijn.

Ondanks de beloften aan gebruikers dat hun privéberichten “voor altijd zouden verdwijnen”, heeft Snapchat toegegeven dat Snaps van gebruikers niet meteen van hun servers of van hun telefoons worden verwijderd.

Deze populaire messenger-apps mogen dan gratis zijn, maar dat gaat ten koste van de privacy van hun honderden miljoenen gebruikers.