Про безопасность и Viber

На днях решил поставить на телефон Viber. Эта программулька сейчас очень популярна и с каждым днем устройств, использующих ее становится все больше.
И вот сейчас мне на глаза попалась статья, которая показывает, насколько эта прога несекюрна (если тут вообще можно употребить это слово).

Viber
Вот сам текст статьи:

Viber — мобильное приложение позволяющее пользователям делать бесплатные телефонные звонки и отправлять текстовые/мультимедийные сообщения открывает доступ к личным данным спецслужбам тем, кто в них может быть заинтересован.

Согласно исследованию, проведенному специалистами University of New Haven (UNH), Коннектикут, США, мобильное приложение Viber отправляет сообщения в НЕЗАШИФРОВАННОМ виде. Это относится также к изображениям, видео и местоположению.

Более того, все эти данные в таком же незащищенном виде хранятся на серверах Viber, вместо того, чтобы быть удаленными. UNH утверждает, что получить к ним доступ не представляет никакой сложности.

Это вторая криптографическая дыра, обнаруженная специалистами UNH Cyber Forensics Research & Education Group в чатовых мобильных приложениях. В середине апреля они уже рассказывали об открытой передаче информации о местоположении самым популярным в своем роде сервисом WhatsApp.

Используя Windows PC в кажестве Wi-Fi точки доступа, команда UNH смогла наладить перехват данных между двумя самыми популярными Android устройствами (HTC One и Samsung Galaxy S4). Что интересно, никакого сверх-оборудования а-ля «007″ им не понадобилось. Точно такой же способ использовался для подключения к каналу связи WhatsApp.

В небольшом видео-сюжете на сайте UNH и YouTube ребята демонстрируют это вполне наглядно:

Данные могут быть перехвачены как непосредственно в точках доступа Wi-Fi, так и в любом другом промежуточном сетевом звене. В видео также говорится, что любой, кто знает URL сообщений может получить доступ к информации непосредственно с серверов Viber через обычный интернет-браузер: данные хранятся в незашифрованном виде и не требуют никакой идентификации при запросе.

Проводившие исследование Ибрагим Баггили и Джейсон Мур утверждают, что связывались по этому поводу с владельцами сервиса до публикации своих результатов, но никакой ответной реакции так и не последовало. В интервью CNET представитель Viber утверждает, что заплатка для Android and iOS будет готова в понедельник, и что по их сведениям «ни один пользователь от этого не пострадал».

Заметим, что о проблемах на своих собственных серверах, компания не сказала ни слова, равно как и о том, что делать пользователям других платформ, в частности BlackBerry, Windows Phone, Samsung Bada и обычных ПК.

В свете всего вышесказанного, то, что произошедшее не является проблемой для пользователей — слишком смелое утверждение со стороны Viber. Хотя, судя по отсутствию извинений, компания по-видимому действительно так считает.

Тем временем стоит отметить, что «дырявость» мобильных чатовых приложений становится обычной вещью, как бы дико это ни звучало. В погоне за очередным миллионом пользователей владельцы сервисов ставят их же в весьма неприятное положение, отодвигая безопасность на второй план.

Viber уже имел пару похожих инцидентов в прошлом году. В июле было обнаружено, что оповещения от приложения появляются даже на заблокированном экране Android устройств. А тремя месяцами раньше раздел техподдержки сайта Viber был взломан Syrian Electronic Army (по заявлению компании утечки данных при этом не произошло).

К сожалению, Viber здесь не одинок.
Основатель $19-ти миллиардного WhatsApp Ян Кум говорит об «уважении к приватным данных пользователей, зашифрованном в [их] ДНК» на фоне регулярных криптографических проколов.

Другой, уже знакомый вам сервис Snapchat в свое время игнорировал предупреждения об опасности безлимитного поиска пользователей по телефонным номерам, что в результате привело к утечке 4.6 миллионов имен и телефонов пользователей.

Чем бы ни закончилась эта история, вывод можно сделать только один: современные приложения для обмена мгновенными сообщениями не должны исправляться пост-фактум от таких недостатков. Шифрование относится к разряду вещей, которые должны присутствовать в них изначально и без дополнительных напоминаний.

Ну что ж… Каждый сам делает вывод, что ему важнее: удобство, бесплатность, низкое потребление траффика или такие вот «побочные явления», как перехват или даже просто доступ к любым материалам и просто переговорам, совершенным при помощи этой программы.