Here we go again: Viber mobile messenger app leaves user data unencrypted
Viber, aplikacja mobilnego komunikatora, która pozwala użytkownikom na wykonywanie połączeń telefonicznych i wysyłanie wiadomości tekstowych i obrazów za darmo, również oddaje mnóstwo darmowych danych użytkownika każdemu, kto chce słuchać.
Według naukowców z University of New Haven (UNH) w Connecticut, USA, aplikacja Viber wysyła wiadomości użytkownika w niezaszyfrowanej formie – w tym zdjęcia, filmy, bazgroły i obrazy lokalizacji.
Wszystkie te bogate dane od użytkowników są również przechowywane niezaszyfrowane na serwerach Viber, zamiast być natychmiast usuwane, i są dostępne bez poświadczeń, tylko link, naukowcy UNH said.
To drugi kryptograficzny błąd ujawniony przez naukowców UNH w ciągu tylu tygodni – UNH Cyber Forensics Research & Education Group ujawniła 13 kwietnia 2014 r., że aplikacja komunikatora WhatsApp również oddaje dane o lokalizacji użytkownika w niezaszyfrowanej formie.
Używając komputera z systemem Windows jako punktu dostępowego Wi-Fi, zespół UNH był w stanie przechwycić dane wysyłane przez smartfon z Androidem za pomocą zwykłych narzędzi do sniffowania ruchu, tego samego podejścia podjętego przez UNH w swoich eksperymentach z WhatsApp.
W filmie zamieszczonym na stronie UNH i YouTube, badacze zademonstrowali przechwytywanie wiadomości wysyłanych między dwoma testowymi telefonami z Androidem.
Dane mogą zostać przechwycone przez zatrute punkty dostępowe, przez złośliwych użytkowników w tej samej sieci Wi-Fi lub w innym miejscu sieci pomiędzy Tobą a Viber.
W filmie jeden z badaczy powiedział, że niezaszyfrowane wiadomości mogą również zostać pobrane z serwerów Viber przez każdego, kto zna adres URL wiadomości:
Dane są przechowywane na serwerze Viber w sposób niezaszyfrowany. Nie ma również żadnej metody uwierzytelniania, więc każdy, kto ma dostęp do tych linków, może spojrzeć na te dane, pobrać te dane i zrobić z nimi, co tylko chce.
Badacze, dr Ibrahim Baggili i Jason Moore, powiedzieli we wpisie na blogu, że zgłosili wadę bezpieczeństwa bezpośrednio do Viber przed opublikowaniem swoich wyników, ale „nie otrzymali od nich odpowiedzi.”
W oświadczeniu dla CNET, Viber powiedział, że będzie wydać poprawkę wkrótce dla Androida i iOS, i powiedział, że problem został „rozwiązany.”
Ten problem został już rozwiązany. Jest on obecnie w QA i poprawka zostanie wydana dla Androida i przekazana do Apple w poniedziałek. Na dzień dzisiejszy nie wiemy o ani jednym użytkowniku, który został dotknięty tym problemem.
Faktem jest, że nowoczesna aplikacja do przesyłania wiadomości online nie powinna „naprawiać” tego rodzaju błędów – szyfrowanie powinno być wbudowane od samego początku.
I dla wszystkich, że Viber może „naprawić” swoje aplikacje, aby bezpiecznie wymieniać dane, nie powiedział nic na temat rozwiązywania problemów, które UNH znalazł w chmurze Viber, gdzie przechowywane są wiadomości.
Firma wymienia również tylko Android i iOS jako coraz aktualizacje, pozostawiając użytkowników jego licznych innych obsługiwanych platform w ciemności.
To obejmuje użytkowników Viber na pulpicie, przez ekosystem Samsunga Bada, na różnych mobilnych systemów operacyjnych Microsoftu, a na telefony Blackberry i Nokia.
With all of this in mind, Viber’s claim that „we are not aware of a single user who has been affected by this” rings very hollow.
After all, the company didn’t bother to apologize for not spotting these problems in its own QA – and putting its customers at needless risk.
Nieszczelne aplikacje mobilne i prywatność danych
Jak staje się zbyt powszechne z nowej rasy aplikacji mobilnych komunikatorów – w tym Facebook-owned WhatsApp i zdjęcia i wideo-sharing app Snapchat – bezpieczeństwo i prywatność danych użytkownika wydaje się być afterthought.
Although zarówno WhatsApp i Viber powiedział, że będą pracować, aby naprawić swoje niedopatrzenia szyfrowania, w czasach te młode firmy wykazały kawaleryjski i lekceważący stosunek do prywatności danych i bezpieczeństwa.
Viber, założona w 2010 roku, miał kilka innych incydentów bezpieczeństwa w ciągu ostatniego roku.
W lipcu 2013 r. badaczowi bezpieczeństwa udało się użyć wyskakujących powiadomień z aplikacji Viber, aby ominąć ekran blokady na urządzeniu z systemem Android.
A w kwietniu 2013 r. strona wsparcia Viber została zhakowana przez Syryjską Armię Elektroniczną, chociaż żadne dane użytkowników nie zostały utracone w ataku.
Założyciel WhatsApp, Jan Koum, słynnie powiedział, że „szacunek dla twojej prywatności jest zakodowany w naszym DNA”, po tym jak jego firma została wykupiona przez Facebooka za 19 miliardów dolarów w marcu.
To miły sentyment, ale WhatsApp popełnił powtarzające się błędy kryptograficzne, które pozostawiły dane użytkowników podatne na ataki.
Inna szybko rozwijająca się aplikacja messenger, Snapchat, zignorowała ostrzeżenia badaczy bezpieczeństwa, że aplikacja pozwoliła na nieograniczone wyszukiwanie numerów telefonów użytkowników – wada, która doprowadziła do napastnika zrzucającego 4,6 miliona nazw użytkowników i numerów telefonów online po tym, jak Snapchat odrzucił atak jako „teoretyczny”.”
Kiedy został poproszony o dobrowolne stawienie się przed Kongresem na przesłuchaniu dotyczącym naruszeń danych, Snapchat odmówił zeznań, co doprowadziło jednego z amerykańskich senatorów do stwierdzenia, że firma „coś ukrywa”.
Co jest ironią losu, ponieważ ukrywanie danych użytkowników przed wścibskimi oczami nie wydaje się być jedną z mocnych stron firmy.
Pomimo obietnic złożonych użytkownikom, że ich prywatne wiadomości „znikną na zawsze”, Snapchat przyznał, że Snapy użytkowników nie są od razu usuwane z ich serwerów ani z telefonów użytkowników.
Te popularne komunikatory mogą być darmowe, ale kosztem prywatności setek milionów ich użytkowników.
.