Viber, la última app social en riesgo

0

Tras las vulnerabilidades comentadas recientemente sobre la aplicación de mensajería WhatsApp, que podrían exponer a los usuarios a compartir su posición mediante GPS con los hackers, nos toca hablar de otra popular app para smartphones: Viber.

Viber permite que un atacante acceda a nuestros doodles, fotos y ubicación GPS, entre otros

El mismo grupo de investigadores ha localizado un importante fallo en la conocida aplicación social Viber. Comentan que la pobre implementación de la seguridad encontrada en la aplicación pone en peligro la privacidad de sus usuarios, que superan los 150 millones.

La plataforma Viber permite a un usuario registrado el envío de mensajes de textos, imágenes, vídeos y localización GPS con otras personas, además de su característica más apreciada: llamadas de voz gratuitas. Está disponible para Android, iOS, BlackBerry, Windows Phone y Compatibles.

Viber filtra nuestra posición GPS y datos

Los ivnestigadores han descubierto que los datos de usuario almacenados en los servidores de Amazon Viber, incluyendo vídeos e imágenes, están almacenados sin cifrar y podrían ser accesibles sin requerir autenticación. Así, en caso de que un atacante intercepte un simple enlace en una web, sería suficiente para disponer de todos los datos asociados.

Los datos que se almacenan en los servidores de Viber no están cifrados, tampoco en tránsito

Se ha creado un vídeo explicativo, que demuestra que Viber no está cifrando ningún dato, ya sean archivos de medios o de posición GPS, en sus servidores. Esto permitiría a los hackers capturar el tráfico sin cifrar mediante un ataque MiTM (Man in The Middle).


El principal problema es que los datos mencionados no están encriptados, dejándolos disponibles para ser interceptados a través de un punto de acceso malicioso, o cualquier modalidad de ataque man-in-the-middle


Un atacante que esté utilizando una herramienta de testeo de paquetes de red, como Network Miner, Wireshark o NetWitness tendría los datos a su merced.

Cualquiera, incluso los ISP o Proveedores de Servicio, sería capaz de recopilar estos datos. Y cualquiera que establezca un rogue AP o ataques de intercepción como ARP Poisoning sería capaz de capturar el tráfico sin cifrar, como vídeos, imágenes o localización GPS recibidos por el smartphone.

Los investigadores han sido cautos, compartiendo las vulnerabilidades descubiertas con los desarrolladores antes de publicarlas en la red, aunque el equipo de Viber aún no ha ofrecido una respuesta.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR