01.04.2015

Нашлась и на Viber проруха

Не успели мы перевести дух после скандального взлома аккаунта на Skype, как пришла очередь другого мессенджера. Выясняется, что приложение обмена сообщениями и интернет - телефонии Viber содержит уязвимость, позволяющую перехватывать видео и геолокацию абонента.

Группа специалистов по исследованию информационных угроз университета Нью-Хейвена установила, что вложения в сообщения Viber хранятся на Amazon - серверах компании в незашифрованном виде. Более того, для доступа к этим данным не требуется авторизация.

Получается, что злоумышленник, получивший доступ к трафику пользователя, может получать фотографии, видеозаписи и рисунки (дудль) без расшифровки. Такой перехват весьма просто устроить, например, организовав виртуальную точку доступа Wi-Fi.

Более того, дубликаты переданных данных продолжают храниться на серверах Viber в течение длительного времени, незашифрованными и доступными практически в открытом доступе. Один раз обнаружив представляющие интерес данные, хакер может их даже не копировать.

Надо ли объяснять, какой простор для преступных действий открывает такая уязвимость? Шантаж. Кража личности. Доступ к банковским счетам. Онлайн 0 травля, наконец.

Огорчает беспечность и нерасторопность администрации Viber. Отчеты об уязвимостях в Android 4.3. и Android 4.4. направлена исследователями University of New Haven’s Cyber Forensics Research and Education Group по электронной почте в начале марта, но ситуация не исправлена, и письмо до сих пор осталось без ответа.

Ну почему руководители IT-компаний поступают как карикатурные бюрократы?

Детальное описание: Не успели мы перевести дух после скандального взлома аккаунта на Skype, как пришла очередь другого мессенджера. Выясняется, что приложение обмена сообщениями и интернет - телефонии Viber содержит уязвимость, позволяющую перехватывать видео и геолокацию абонента.

Группа специалистов по исследованию информационных угроз университета Нью-Хейвена установила, что вложения в сообщения Viber хранятся на Amazon - серверах компании в незашифрованном виде. Более того, для доступа к этим данным не требуется авторизация.

Получается, что злоумышленник, получивший доступ к трафику пользователя, может получать фотографии, видеозаписи и рисунки (дудль) без расшифровки. Такой перехват весьма просто устроить, например, организовав виртуальную точку доступа Wi-Fi.

Более того, дубликаты переданных данных продолжают храниться на серверах Viber в течение длительного времени, незашифрованными и доступными практически в открытом доступе. Один раз обнаружив представляющие интерес данные, хакер может их даже не копировать.

Надо ли объяснять, какой простор для преступных действий открывает такая уязвимость? Шантаж. Кража личности. Доступ к банковским счетам. Онлайн 0 травля, наконец.

Огорчает беспечность и нерасторопность администрации Viber. Отчеты об уязвимостях в Android 4.3. и Android 4.4. направлена исследователями University of New Haven’s Cyber Forensics Research and Education Group по электронной почте в начале марта, но ситуация не исправлена, и письмо до сих пор осталось без ответа.

Ну почему руководители IT-компаний поступают как карикатурные бюрократы?
Детальная картинка: 

Возврат к списку