Combater a fraude e satisfação do cliente aumento
Popular Whatsapp-como serviço de mensagens Viber é expor os usuários a man-in-the-middle e outros ataques, pois não é a criptografia de vários dados em repouso e em trânsito, pesquisadores de segurança alertaram.
O aplicativo móvel permite aos usuários enviar mensagens uns aos outros, vídeos, imagens e "doodles", detalhes de localização GPS partes e fazer chamadas de voz.
No entanto, pesquisadores da Universidade de New Haven de Cyber Forensics Pesquisa e Educação Grupo (UNHcFREG) encontrou uma "séria falha de segurança" no caminho Viber recebe vídeos, imagens e arquivos do doodle; do jeito que envia e recebe dados de localização; e do jeito que armazena dados em seus servidores da Amazon.
Rede experimental da equipe criado um ponto de acesso não autorizado utilizando Virtual Miniport Adaptador de um Windows 7 PC Wi-Fi gratuito e um primeiro smartphone conectado à mesma rede. Em seguida, ele conectou um segundo de smartphones fora da rede via GSM e é usado para trocar dados com o primeiro smartphone sobre Viber.
Ele disse que, com ferramentas como NetworkMiner, Wireshark, e NetWitness era capaz de capturar o tráfego enviado através da rede de teste.
Especificamente, a equipe afirmou que imagens, doodles e vídeos recebidos não são criptografadas; dados de localização enviados e recebidos é criptografado; e os dados são armazenados nos servidores da Amazon Viber em formato não-criptografado.
Além disso, ele disse que os dados do usuário armazenados nos servidores da Amazon do Viber não é excluído imediatamente e que podem ser facilmente acessados sem qualquer mecanismo de autenticação - "basta visitar o link interceptado em um navegador da web nos dá acesso completo aos dados".
Os pesquisadores acrescentaram o seguinte:
Qualquer pessoa, incluindo os prestadores de serviço será capaz de coletar essas informações - e qualquer um que configura um rogue AP, ou qualquer man-in-meio ataques, como envenenamento ARP será capaz de capturar esse tráfego não criptografado e visualizar as imagens e vídeos recebidos, bem como os locais que está sendo enviado ou recebido por um telefone.
UNHcFREG disse que já havia informado Viber das falhas de segurança, mas não recebeu nenhuma palavra de volta, no momento da publicação. Um vídeo do teste (h / t The Hacker News ) pode ser encontrada aqui .
Recomendou Viber garantir que todos os dados em trânsito é enviado através de um túnel criptografado, que os dados são criptografados corretamente quando salvo e que o acesso a ele devem exigir autenticação.
O serviço de mensagens israelense apoiado pelos EUA, com sede em Chipre, foi recentemente adquirido para 900,000 mil dólares por gigante japonesa de comércio eletrônico Rakuten em uma tentativa de levar a empresa "a um nível diferente."
Para o registro, a mesma equipe de New Haven uni testadores na semana passada, uma pesquisa publicada alegando um erro no recurso de "localização envio" do WhatsApp. ®
Nenhum comentário:
Postar um comentário