И снова: мобильное приложение для обмена сообщениями Viber оставляет пользовательские данные в незашифрованном виде

10 Криптография, потеря данных, мобильный телефон, конфиденциальность
от Джона Зорабедиана

Viber, мобильное приложение для обмена сообщениями, которое позволяет пользователям совершать телефонные звонки и отправлять текстовые сообщения и изображения бесплатно, а также предоставляет большое количество бесплатных пользовательских данных всем, кто хочет их слушать.

Согласно исследователям из Университета Нью-Хейвена (UNH) в Коннектикуте ut, США, приложение Viber отправляет пользователям сообщения в незашифрованном виде, включая фотографии, видео, рисунки и изображения местоположения.

Все эти обширные данные пользователей также хранятся в незашифрованном виде на серверах Viber, а не удаляется немедленно и становится доступным без учетных данных, просто по ссылке, сказали исследователи UNH.

Это вторая криптографическая ошибка, обнаруженная исследователями UNH за столько недель — UNH Cyber Группа судебных исследований и образования сообщила 13 апреля 2014 года, что приложение для обмена сообщениями WhatsApp также выдает данные о местоположении пользователя в незашифрованном виде.

Используя ПК с Windows в качестве точки доступа Wi-Fi, Команда UNH смогла захватить данные, отправленные смартфоном Android с помощью обычных инструментов отслеживания трафика, тот же подход, который использовался UNH в своих экспериментах с WhatsApp.

В видео, размещенном на веб-сайте UNH и YouTube. , исследователи продемонстрировали захват сообщений, передаваемых между двумя тестовыми телефонами Android.

Данные могут быть перехвачены с помощью poiso ned точки доступа злоумышленниками в той же сети Wi-Fi или в другом месте сети между вами и Viber.

В видео один из исследователей сказал, что незашифрованные сообщения также могут быть получены с серверов Viber любым, кто знает URL-адрес сообщения:

Данные хранятся на сервере Viber в незашифрованном виде. Также не используется метод аутентификации, поэтому любой, у кого есть доступ к этим ссылкам, может просматривать эти данные, извлекать эти данные и делать с ними все, что угодно.

Исследователи, доктор Ибрагим Баггили и Джейсон Мур, сообщили в своем блоге, что они сообщили об уязвимости безопасности непосредственно в Viber перед публикацией своих результатов, но «не получили от них ответа».

In В заявлении CNET Viber сообщил, что вскоре выпустит исправление для Android и iOS, и сказал, что проблема «решена».

Эта проблема уже решено. В настоящее время он находится на стадии контроля качества, и исправление будет выпущено для Android и отправлено в Apple в понедельник. На сегодняшний день мы не знаем ни одного пользователя, на которого это повлияло.

Дело в том, что современное онлайн-приложение для обмена сообщениями не должно быть «Исправление» такой ошибки — шифрование должно было быть встроено с самого начала.

И при всем том, что Viber, возможно, «исправил» свои приложения для безопасного обмена данными сейчас, он не сказал все, что касается устранения уязвимостей, которые UNH обнаружил в облаке Viber, где хранятся ваши сообщения.

Компания также указывает только Android и iOS как получающие обновления, оставляя пользователей своих многочисленных других поддерживаемых платформ в неведении .

Сюда входят пользователи Viber на настольных компьютерах, через экосистему Samsung Bada, в различных мобильных операционных системах Microsoft и на телефонах Blackberry и Nokia.

Учитывая все это, Viber утверждает, что « мы не знаем ни одного пользователя, которого это коснулось ». Звучит очень пусто.

В конце концов, компания не потрудилась извиниться за то, что не обнаружила эти проблемы в своем собственном контроле качества — и подвергая своих клиентов ненужному риску.

Утечки мобильных приложений и конфиденциальность данных

Как это часто бывает с новым поколением мобильных приложений для обмена сообщениями, включая принадлежащий Facebook WhatsApp и приложение для обмена фотографиями и видео Snapchat, безопасность и конфиденциальность пользовательских данных, кажется, отошли на второй план.

Хотя и WhatsApp, и Viber заявили, что будут работать над исправлением своих недостатков в шифровании, порой эти молодые компании проявляли бесцеремонное и пренебрежительное отношение к конфиденциальности и безопасности данных.

Основание Viber в 2010 г. за последний год произошло еще несколько инцидентов безопасности.

В июле 2013 г. Арчеру удалось использовать всплывающие уведомления из приложения Viber, чтобы обойти экран блокировки на устройстве Android.

А в апреле 2013 года страница поддержки Viber была взломана сирийской электронной армией, хотя ни один пользователь данные были потеряны в результате атаки.

Основатель WhatsApp Ян Кум, как известно, сказал, что «уважение к вашей конфиденциальности закодировано в нашей ДНК» после того, как его компания была куплена Facebook за 19 миллиардов долларов в марте.

Это хорошее мнение, но WhatsApp неоднократно совершал криптографические ошибки, в результате которых пользовательские данные оставались уязвимыми.

Другое быстрорастущее приложение для обмена сообщениями, Snapchat, игнорировало предупреждения исследователей безопасности о том, что приложение разрешало неограниченный поиск телефонных номеров пользователей — ошибка, из-за которой злоумышленник сбросил 4,6 миллиона имен пользователей и номеров телефонов в онлайн после того, как Snapchat отклонил атаку как «теоретическую».

Слушания в Конгрессе по нарушениям данных, Snapchat отказался давать показания, в результате чего один сенатор США сказал, что любой «что-то скрывал.

Что иронично, поскольку сокрытие пользовательских данных от посторонних глаз, похоже, не является одной из сильных сторон компании.

Несмотря на обещания, данные пользователям, что их личные сообщения «исчезнут навсегда», Snapchat признал, что пользовательские снимки не удаляются сразу с их серверов или с телефонов пользователей.

Эти популярные приложения для обмена сообщениями могут быть бесплатными, но за определенную плату. к конфиденциальности для сотен миллионов пользователей.

  • Следите за @NakedSecurity в Twitter , чтобы быть в курсе последних новостей о компьютерной безопасности.

  • Следуйте @NakedSecurity в Instagram для эксклюзивных картинок, гифок, видео и LOL!

Бесплатные инструменты

Sophos Home

Защита персональных ПК и Mac

iv>

Hitman Pro

Поиск и удаление вредоносных программ

Intercept X для мобильных устройств

Защита устройств Android
Оцените статью
Botgadget.ru
Добавить комментарий