Meio Bit » Arquivo » Mobile » Viber estava enviando imagens e vídeos de usuários sem encriptação

Viber estava enviando imagens e vídeos de usuários sem encriptação

Bug (ou seria POG?) do Viber fazia com que imagens e vídeos fossem enviados pelo app sem nenhuma encriptação. Pior: arquivos eram armazenados publicamente

10 anos atrás

pogs

Uma das práticas mais comuns e consequentemente mais odiadas pelos profissionais de segurança é o POG, a famigerada "Programação Orientada a Gambiarras". Jeitinhos de consertar falhas ocorrem nas melhores e piores empresas, sempre tem algum espertinho que ao invés de otimizar o código se vale de meios escusos, incompreensíveis e nem um pouco eficientes para chegar ao resultado final, que é o programa funcionando. Não é como se hoje em dia precisássemos economizar cada byte escrito, mas POGs grosseiros podem ser não apenas ineficientes,como também perigosos.

A quase totalidade das falhas de segurança se deve e programação mal feita ou desatenção vide o Heartbleed: uma falha na validação de uma variável por parte do programador e o revisor causou todo o caos atual. Ainda assim não é como o programador safado do Starbucks, cujo app do iOS mantinha as senhas de todo mundo em plain text.

Agora o erro se repete tendo o Viber como protagonista. A aplicação está indo muito bem após ter sido adquirida pelo Rakuten Group por US$ 900 milhões. A empresa vem expandindo sua participação e ameaçando o mercado do Skype ao oferecer promoções agressivas de ligações para números fixos, o que torna o problema descoberto ainda mais preocupante: Ibrahim Baggili e Jason Moore, pesquisadores da Universidade de New Haven demonstraram que o app compartilha imagens e vídeos no aberto, sem nenhum tipo de encriptação. Pior: os dados eram armazedados em um endereço público, literalmente acessível a qualquer um.

O vídeo abaixo demonstra a falha, ao utilizar um PC com Windows 7 para interceptar as transmissões:

Não é essa a primeira vez que essa dupla fuça em apps de mensagens: dias atrás a vítima foi o WhatsApp, em que uma falha compartilhava a posição exata do usuário ao enviar um atalho com um link do Google Maps. No caso do Viber é ainda pior, pois o bug compartilha tudo que o usuário envia exceto mensagens de voz e texto de maneira pública, para qualquer um fuçar à vontade.

Segundo o Viber a falha já foi corrigida, mas é sempre bom ficar de olho aberto porque no menor cochilo a militância hacker ataca, e POGs não serão tolerados.

Fonte: CNet.

relacionados


Comentários