Известный большинству пользователей сервис IP-телефонии и обмена сообщениями Viber передает часть пользовательских данных, включая изображения, видеозаписи, дудлы и изображения местоположений, в незашифрованном виде. К такому выводу пришли исследователи Университета Нью-Хейвена в штате Коннектикут (UNH).
По словам исследователей, все вышеперечисленные типы данных хранятся на серверах компании Viber Media в незашифрованном виде, вместо того, чтобы автоматически удаляться сразу же по завершении операции, и получить к ним доступ не представляет никакой сложности. За последние несколько недель это вторая грубая криптографическая ошибка, которую удалось обнаружить группе исследователей в области кибербезопасности из UNH. В начале апреля они сообщали, что другой не менее известный мессенджер – WhatsApp, передает данные о местоположении в незащищенном виде.
Используя Windows-ПК в качестве точки доступа Wi-Fi, команде исследователей UNH удалось перехватить данные, которыми обменивались два Android-смартфона (HTC One и Samsung Galaxy S4). При этом специалисты не использовали никакого дорогостоящего оборудования. Процесс перехвата информации записан на видео, размещенном ниже.
Сообщается, что информация может быть перехвачена как непосредственно в точках доступа Wi-Fi, так и в любом другом промежуточном звене сети. На видео один из исследователей сообщил, что незашифрованные данные могут быть получены из серверов Viber любым пользователем, знающим URL сообщения. Иначе говоря, данные хранятся на серверах Viber в незащищенном виде и не требуют никакой идентификации при запросе доступа к ним.
Исследователи Ибрагим Баггили и Джейсон Мур в своем блоге заявили о том, что уведомили Viber Media об уязвимости перед тем, как публиковать результаты исследования, однако никакой реакции пока так и не последовало. В то же время в интервью ресурсу CNET представитель Viber сообщил, что в скором времени выйдут соответствующие исправления для Android и iOS.
«Этот вопрос уже решен. Соответствующие исправления для Android и iOS будут выпущены уже в понедельник. По состоянию на сегодняшний день мы не обнаружили ни одного пользователя, который пострадал из-за этой ошибки» — говорится в заявлении.
Примечательно, что Viber Media не сказала ни слова о проблемах и методах их решения на стороне своих собственных серверов, где хранятся данные, а также упомянула только Android и iOS. Что же делать пользователям других платформ, на которых работает приложение Viber. В частности, BlackBerry OS, Bada, Windows Phone, Symbian, а также ПК.
Все вышесказанное и особенно комментарии Viber Media о том, что «ни один пользователь от этого не пострадал», выставляют компанию в очень неприглядном свете. В конце концов, Viber Media даже не потрудилась принести извинения своим клиентам и, похоже, будет подвергать пользователей определенному риску и дальше.
Стоит отметить, что в последнее время в Сети все чаще появляются сообщения о проблемах в безопасности мессенджеров. Ведь в погоне за очередным миллионом активных пользователей разработчики отодвигают безопасность и конфиденциальность пользовательский данных на второй план.
Проблема в шифровании данных является далеко не первым пятном в короткой истории компании Viber Media, которая была основана только в 2010 году. В июле 2013 года исследователям безопасности удалось обойти экран блокировки Android-устройства, используя всплывающие уведомления Viber. Немного раньше, в апреле 2013 года, официальная страница Viber для поддержки пользователей была взломана Syrian Electronic Army. По словам компании, пользовательские данные в ходе атаки не пострадали.
Основатель сервиса WhatsApp, который не так давно был приобретен Facebook за $16 млрд, в своем недавнем интервью заявил, что «неприкосновенность частной жизни пользователей заложено в нашей ДНК».В то же время в истории WhatsApp также есть немалое количество криптографических ошибок.
Другой быстрорастущий сервис Snapchat в свое время проигнорировал предупреждение о потенциальной опасности возможности неограниченного поиска пользователей по телефонным номерам, вследствие чего в Интернет попали 4,6 млн телефонов и имен пользователей из США.
Таким образом, многие популярные приложения для мгновенного обмена сообщениями очень часто обходятся пользователям очень дорого из-за того, что компании не уделяют должного внимания шифрованию и вопросам безопасности пользовательских данных.
Источник: NakedSecurity, CNET