Otkriven novi propust: Viber šalje i čuva slike i video snimke bez kriptografske zaštite

Mobilni telefoni, 25.04.2014, 09:15 AM

Otkriven novi propust: Viber šalje i čuva slike i video snimke bez kriptografske zaštite

Stručnjaci Grupe za sajber forenzička istraživanja i edukaciju koji su prošle nedelje otkrili da popularna aplikacija WhatsApp ima relativno ozbiljan propust koji omogućava otkrivanje lokacije korisnika, nisu se zaustavili na tome.

Ove nedelje istraživači iz ove grupe objavili su da su otkrili niz propusta u drugoj takođe veoma popularnoj aplikaciji za razmenu poruka Viber koji navodno ozbiljno ugrožavaju privatnost više od 150 miliona aktivnih korisnika aplikacije.

Viber je multiplatformna aplikacija koja omogućava registrovanim korisnicima da razmenjuju poruke, slike, crteže, lokaciju i video snimke, ali i besplatne razgovore koji su dostupni korisnicima Androida, iOS, Windows Phone, Blackberry i desktop verzije.

Istraživači su otkrili da podaci sačuvani na Viber Amazon serverima uključujući i slike i video fajlove se čuvaju u nešifrovanom obliku i da im lako može biti pristupljeno bez ikakve provere identiteta, na primer ako napadač jednostavno poseti presretnuti link na web sajtu.

Na demo snimku koji su objavili istraživači su pokazali da Viber ne šifruje podatke kao što su slike, video snimci, slike lokacija tokom razmene sa svojim Amazon serverom, što napadaču omogućava da snimi nešifrovani saobraćaj tokom man-in-the-middle napada. Oni su pronašli podatke i linkove na online lokacijama presrećući saobraćaj na Windows 7 računaru koji je bio postavljen kao wireless pristupna tačka za jedan od mobilnih telefona korišćenih na testu.

Iako na ovaj način nije lako doći do podataka, napadači ipak to mogu uraditi postavljanjem malicioznih wireless pristupnih tačaka ili u man-in-the middle napadima presretanjem mrežnog saobraćaja.

Napadač može koristiti bilo koji alat za testiranje mreže kao što je NetworkMiner, Wireshark ili NetWitness da bi snimio saobraćaj tokom man-in-the-middle napada. Na taj način napadači, ali i internet provajderi i mobilni operateri, mogu videti slike i video snimke kao i lokacije koje se šalju ili primaju preko telefona.

Grupa je o ovome obavestila Viberov tim pre nego što je svoja otkrića objavila na blogu, ali za sada im iz kompanije nije stigao odgovor.

Međutim, Viber se oglasio i rekao da je problem već rešen ali da se ispravka testira i da će biti objavljena za Android i dostavljena Appleu u ponedeljak. Iz Vibera su istakli da do danas nije bilo nijednog korisnika koji je bio ugrožen zbog ove ranjivosti u aplikaciji.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje

Signal uveo podršku za korisnička imena u aplikaciji

Signal uveo podršku za korisnička imena u aplikaciji

Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje