Iarăși o luăm de la capăt: Aplicația de mesagerie mobilă Viber lasă datele utilizatorilor necriptate
Viber, o aplicație de mesagerie mobilă care permite utilizatorilor să efectueze apeluri telefonice și să trimită gratuit mesaje text și imagini, oferă, de asemenea, o mulțime de date gratuite ale utilizatorilor pentru oricine dorește să asculte.
Potrivit cercetătorilor de la Universitatea New Haven (UNH) din Connecticut, SUA, aplicația Viber trimite mesajele utilizatorilor în formă necriptată – inclusiv fotografii, videoclipuri, mâzgăleli și imagini de localizare.
Toate aceste date bogate de la utilizatori sunt, de asemenea, stocate necriptat pe serverele Viber, în loc să fie șterse imediat, și sunt accesibile fără acreditări, ci doar printr-un link, au declarat cercetătorii de la UNH.
Este a doua gafă criptografică expusă de cercetătorii UNH în tot atâtea săptămâni – Grupul de Educație & de Cercetare în domeniul Criminalisticii Cibernetice de la UNH a dezvăluit pe 13 aprilie 2014 că aplicația de mesagerie WhatsApp oferă, de asemenea, datele de localizare ale utilizatorilor în formă necriptată.
Utilizând un PC Windows ca punct de acces Wi-Fi, echipa UNH a reușit să captureze datele trimise de un smartphone Android cu instrumente obișnuite de adulmecare a traficului, aceeași abordare adoptată de UNH în experimentele lor cu WhatsApp.
Într-un videoclip postat pe site-ul UNH și pe YouTube, cercetătorii au demonstrat capturarea mesajelor trimise între două telefoane Android de test.
Datele pot fi interceptate de puncte de acces otrăvite, de utilizatori rău intenționați din aceeași rețea Wi-Fi sau din altă parte a rețelei dintre dumneavoastră și Viber.
În videoclip, unul dintre cercetători a spus că mesajele necriptate pot fi, de asemenea, recuperate de pe serverele Viber de către oricine care cunoaște URL-ul mesajului:
Datele sunt stocate pe serverul Viber în mod necriptat. De asemenea, nu este folosită nicio metodă de autentificare, astfel încât oricine are acces la aceste linkuri poate să se uite la aceste date, să recupereze aceste date și să facă orice dorește cu ele.
Cercetătorii, Dr. Ibrahim Baggili și Jason Moore, au declarat într-o postare pe blog că au raportat defectul de securitate direct la Viber înainte de a-și publica rezultatele, dar nu au „primit niciun răspuns din partea lor”.”
Într-o declarație pentru CNET, Viber a spus că va lansa în curând o soluție pentru Android și iOS și a precizat că problema a fost „rezolvată.”
Această problemă a fost deja rezolvată. Este în prezent în QA, iar remedierea va fi lansată pentru Android și trimisă la Apple luni. Până în prezent, nu avem cunoștință de niciun utilizator care să fi fost afectat de acest lucru.
Faptul este că o aplicație modernă de mesagerie online nu ar trebui să „repare” cu adevărat acest tip de gafă – criptarea ar fi trebuit să fie integrată de la început.
Și, cu toate că Viber poate că și-a „reparat” aplicațiile pentru a face schimb de date în siguranță acum, nu a spus nimic despre rezolvarea insecurităților pe care UNH le-a găsit în cloud-ul Viber, unde sunt stocate mesajele dvs.
Compania enumeră, de asemenea, doar Android și iOS ca primind actualizări, lăsând în întuneric utilizatorii numeroaselor sale alte platforme suportate.
Aceasta include utilizatorii de Viber pe desktop, prin intermediul ecosistemului Bada de la Samsung, pe diversele sisteme de operare mobile de la Microsoft și pe telefoanele Blackberry și Nokia.
Cu toate acestea în minte, afirmația Viber conform căreia „nu avem cunoștință de niciun utilizator care să fi fost afectat de acest lucru” sună foarte gol-goluț.
După toate acestea, compania nu s-a deranjat să își ceară scuze pentru că nu a depistat aceste probleme în propriul său QA – și pentru că și-a expus clienții la un risc inutil.
Aplicațiile mobile necorespunzătoare și confidențialitatea datelor
Așa cum se întâmplă prea des în cazul noii generații de aplicații de mesagerie mobilă – inclusiv WhatsApp, deținută de Facebook, și aplicația de partajare de fotografii și videoclipuri Snapchat – securitatea și confidențialitatea datelor utilizatorilor par să fie o idee de ultimă oră.
Deși atât WhatsApp, cât și Viber au declarat că vor lucra pentru a remedia inadvertențele lor în materie de criptare, uneori aceste companii tinere au dat dovadă de o atitudine cavaleristă și disprețuitoare față de confidențialitatea și securitatea datelor.
Viber, fondată în 2010, a mai avut câteva incidente de securitate în ultimul an.
În iulie 2013, un cercetător în domeniul securității a reușit să folosească notificările pop-up din aplicația Viber pentru a ocoli ecranul de blocare pe un dispozitiv Android.
Și în aprilie 2013, pagina de asistență a Viber a fost piratată de Armata Electronică Siriană, deși nu s-au pierdut date ale utilizatorilor în urma atacului.
Fondatorul WhatsApp, Jan Koum, a declarat în mod faimos că „respectul pentru confidențialitatea dvs. este codificat în ADN-ul nostru”, după ce compania sa a fost cumpărată de Facebook pentru 19 miliarde de dolari în martie.
Este un sentiment frumos, dar WhatsApp a făcut în mod repetat gafe criptografice care au lăsat datele utilizatorilor vulnerabile.
O altă aplicație de mesagerie în creștere rapidă, Snapchat, a ignorat avertismentele cercetătorilor în domeniul securității că aplicația permitea căutări nelimitate ale numerelor de telefon ale utilizatorilor – un defect care a dus la un atacator care a aruncat online 4,6 milioane de nume de utilizator și numere de telefon, după ce Snapchat a respins atacul ca fiind „teoretic”.”
Când i s-a cerut să se prezinte în mod voluntar în fața unei audieri a Congresului privind breșele de date, Snapchat a refuzat să depună mărturie, ceea ce l-a determinat pe un senator american să spună că firma „ascunde ceva.”
Ceea ce este ironic, deoarece ascunderea datelor utilizatorilor de ochii curioșilor nu pare a fi unul dintre punctele forte ale companiei.
În ciuda promisiunilor pe care le-a făcut utilizatorilor că mesajele lor private vor „dispărea pentru totdeauna”, Snapchat a recunoscut că Snap-urile utilizatorilor nu sunt șterse imediat de pe serverele lor sau de pe telefoanele utilizatorilor.
Aceste aplicații populare de mesagerie pot fi gratuite, dar cu un cost pentru confidențialitatea sutelor lor de milioane de utilizatori.
.