Наша взаимовыгодная связь https://banwar.org/
Відомий більшості користувачів сервіс IP-телефонії та обміну повідомленнями Viber передає частину призначених для користувача даних, включаючи зображення, відеозаписи, дудли і зображення розташування, в незашифрованому вигляді. До такого висновку прийшли дослідники Університету Нью-Хейвена в штаті Коннектикут (UNH).
За словами дослідників, всі перераховані вище типи даних зберігаються на серверах компанії Viber Media в незашифрованому вигляді, замість того, щоб автоматично віддалятися відразу ж по завершенні операції, і отримати до них доступ не представляє ніякої складності. За останні кілька тижнів це друга груба криптографічний помилка, яку вдалося виявити групі дослідників в області кібербезпеки з UNH. На початку квітня вони повідомляли, що інший не менш відомий месенджер - WhatsApp, передає дані про місцезнаходження в незахищеному вигляді.
Використовуючи Windows-ПК в якості точки доступу Wi-Fi, команді дослідників UNH вдалося перехопити дані, якими обмінювалися два Android-смартфона (HTC One і Samsung Galaxy S4). При цьому фахівці не використовували ніякого дорогого устаткування. Процес перехоплення інформації записаний на відео, розміщеному нижче.
Повідомляється, що інформація може бути перехоплена як безпосередньо в точках доступу Wi-Fi, так і в будь-якому іншому проміжну ланку мережі. На відео один з дослідників повідомив, що незашифровані дані можуть бути отримані з серверів Viber будь-яким користувачем, які знають URL повідомлення. Інакше кажучи, дані зберігаються на серверах Viber в незахищеному вигляді і не вимагають жодної ідентифікації при запиті доступу до них.
Дослідники Ібрагім баггі і Джейсон Мур в своєму блозі заявили про те, що повідомили Viber Media про уразливість перед тим, як публікувати результати дослідження, проте ніякої реакції поки так і не послідувало. У той же час в інтерв'ю ресурсу CNET представник Viber повідомив, що незабаром вийдуть відповідні виправлення для Android і iOS.
«Це питання вже вирішене. Відповідні виправлення для Android і iOS будуть випущені вже в понеділок. Станом на сьогоднішній день ми не виявили жодного користувача, який постраждав через цю помилку »- йдеться в заяві.
Примітно, що Viber Media не сказала ні слова про проблеми і методи їх вирішення на стороні своїх власних серверів, де зберігаються дані, а також згадала тільки Android і iOS. Що ж робити користувачам інших платформ, на яких працює додаток Viber. Зокрема, BlackBerry OS, Bada, Windows Phone, Symbian, а також ПК.
Все вищесказане і особливо коментарі Viber Media про те, що «жоден користувач від цього не постраждав», виставляють компанію в дуже непривабливому світлі. Зрештою, Viber Media навіть не потрудилася принести вибачення своїм клієнтам і, схоже, буде піддавати користувачів на певний ризик і далі.
Варто відзначити, що останнім часом в Мережі все частіше з'являються повідомлення про проблеми в безпеці месенджерів. Адже в гонитві за черговим мільйоном активних користувачів розробники відсувають безпеку і конфіденційність користувача даних на другий план.
Проблема в шифруванні даних є далеко не першим плямою в короткій історії компанії Viber Media, яка була заснована тільки в 2010 році. У липні 2013 року дослідникам безпеки вдалося обійти екран блокування Android-пристрої, використовуючи спливаючі повідомлення Viber. Трохи раніше, в квітні 2013 року, офіційна сторінка Viber для підтримки користувачів була зламана Syrian Electronic Army. За словами компанії, призначені для користувача дані в ході атаки не постраждали.
Засновник сервісу WhatsApp, який не так давно був придбаний Facebook за $ 16 млрд, в своєму недавньому інтерв'ю заявив, що «недоторканність приватного життя користувачів закладено в нашій ДНК» .У той же час в історії WhatsApp також є чимала кількість криптографічних помилок.
Інший швидко зростаючий сервіс Snapchat свого часу проігнорував попередження про потенційну небезпеку можливості необмеженого пошуку користувачів за телефонними номерами, внаслідок чого в Інтернет потрапили 4,6 млн телефонів і імен користувачів з США.
Таким чином, багато популярні додатки для миттєвого обміну повідомленнями дуже часто обходяться користувачам дуже дорого через те, що компанії не приділяють належної уваги шифрування і питань безпеки призначених для користувача даних.
джерело: NakedSecurity , CNET