Aqui vamos nós novamente: Viber mobile messenger app deixa os dados dos usuários sem criptografia
Viber, um aplicativo de mensageiro móvel que permite aos usuários fazer chamadas telefônicas e enviar mensagens de texto e imagens de graça, também entrega muitos dados gratuitos dos usuários para quem quiser ouvir.
De acordo com pesquisadores da Universidade de New Haven (UNH) em Connecticut, EUA, o aplicativo Viber envia mensagens dos usuários de forma não criptografada – incluindo fotos, vídeos, rabiscos e imagens de localização.
Todos esses dados ricos dos usuários também são armazenados não criptografados nos servidores da Viber, em vez de serem excluídos imediatamente, e são acessíveis sem credenciais, apenas um link, disseram os pesquisadores da UNH.
É o segundo erro criptográfico exposto pelos pesquisadores da UNH em tantas semanas – o UNH Cyber Forensics Research & Education Group revelou em 13 de abril de 2014 que o aplicativo WhatsApp messenger também fornece dados de localização dos usuários de forma não criptografada.
Usando um PC Windows como ponto de acesso Wi-Fi, a equipa da UNH conseguiu captar dados enviados por um smartphone Android com ferramentas de sniffing de tráfego regular, a mesma abordagem adoptada pela UNH nas suas experiências com o WhatsApp.
Num vídeo publicado no website da UNH e no YouTube, os investigadores demonstraram capturar mensagens enviadas entre dois telemóveis Android de teste.
Os dados podem ser interceptados por pontos de acesso envenenados, por utilizadores maliciosos na mesma rede Wi-Fi, ou noutro local da rede entre si e a Viber.
No vídeo, um dos investigadores disse que as mensagens não encriptadas também podem ser recuperadas dos servidores da Viber por qualquer pessoa que conheça a URL da mensagem:
Os dados são armazenados no servidor da Viber de uma forma não encriptada. Também não há nenhum método de autenticação usado, então qualquer um que tenha acesso a esses links pode olhar esses dados, recuperar esses dados e fazer o que quiser com eles.
Os pesquisadores, Dr. Ibrahim Baggili e Jason Moore, disseram em um post de blog que relataram a falha de segurança diretamente à Viber antes de publicar seus resultados, mas “não receberam uma resposta deles”.”
Em uma declaração à CNET, a Viber disse que lançaria uma correção em breve para o Android e iOS, e disse que o problema já foi “resolvido”
Esta questão já foi resolvida. Está atualmente em QA e a correção será lançada para o Android e enviada para a Apple na segunda-feira. A partir de hoje não temos conhecimento de um único usuário que tenha sido afetado por isso.
O fato é que um aplicativo moderno de mensagens online não deveria realmente estar “corrigindo” esse tipo de erro – a criptografia deveria ter sido introduzida desde o início.
E por tudo o que a Viber pode ter “corrigido” seus aplicativos para trocar dados com segurança agora, ela não disse nada sobre a abordagem das inseguranças que a UNH encontrou na nuvem da Viber, onde suas mensagens são armazenadas.
A empresa também lista apenas Android e iOS como recebendo atualizações, deixando os usuários de suas inúmeras outras plataformas suportadas no escuro.
Isso inclui usuários do Viber no desktop, através do ecossistema Bada da Samsung, nos vários sistemas operacionais móveis da Microsoft, e nos telefones Blackberry e Nokia.
Com tudo isso em mente, a alegação da Viber de que “não temos conhecimento de um único usuário que tenha sido afetado por isso” soa muito oco.
Afinal, a empresa não se preocupou em pedir desculpas por não detectar esses problemas em seu próprio QA – e colocar seus clientes em risco desnecessário.
Leaky mobile apps and data privacy
As está a tornar-se demasiado comum com a nova raça de aplicações de messenger móvel – incluindo o WhatsApp da Facebook-owned e o Snapchat da aplicação de partilha de fotos e vídeos – a segurança e a privacidade dos dados dos utilizadores parece ser um pensamento posterior.
Embora tanto o WhatsApp como a Viber tenham dito que irão trabalhar para corrigir os seus excessos de encriptação, por vezes estas jovens empresas demonstraram uma atitude cavalheiresca e desdenhosa em relação à privacidade e segurança dos dados.
Viber, fundada em 2010, teve alguns outros incidentes de segurança no último ano.
Em julho de 2013, um pesquisador de segurança conseguiu usar notificações pop-up do aplicativo Viber para contornar a tela de bloqueio em um dispositivo Android.
E em abril de 2013, a página de suporte da Viber foi invadida pelo Exército Eletrônico Sírio, embora nenhum dado de usuário tenha sido perdido no ataque.
O fundador da WhatsApp, Jan Koum, disse, famoso, que “o respeito pela sua privacidade está codificado no nosso DNA”, depois que a sua empresa foi comprada pelo Facebook por $19 bilhões em março.
Esse é um sentimento agradável, mas o WhatsApp tem feito repetidos erros criptográficos que deixaram os dados dos usuários vulneráveis.
Outro aplicativo de mensagens de rápido crescimento, Snapchat, ignorou os avisos dos pesquisadores de segurança de que o aplicativo permitia buscas ilimitadas de números de telefone de usuários – uma falha que levou um atacante a despejar 4,6 milhões de nomes de usuários e números de telefone online depois que o Snapchat rejeitou o ataque como “teórico”.”
Quando solicitado a comparecer voluntariamente perante uma audiência do Congresso sobre violações de dados, Snapchat recusou-se a testemunhar, levando um senador americano a dizer que a empresa estava “escondendo algo”
O que é irônico, já que esconder dados de usuários de olhos curiosos não parece ser um dos pontos fortes da empresa.
Embora prometa aos usuários que suas mensagens privadas “desapareceriam para sempre”, Snapchat reconheceu que os Snaps dos usuários não são excluídos imediatamente de seus servidores ou dos telefones dos usuários.
Estas aplicações populares de messenger podem ser gratuitas, mas com um custo para a privacidade de suas centenas de milhões de usuários.