Falla de seguridad en Viber: información sin cifrado en sus servidores

Investigadores han descubierto una falla de seguridad en el modo en que Viber, la popular aplicación de mensajería instantánea y llamadas, recibe imágenes, doodles y videos, así como también la forma en la que envía o recibe información de ubicación geográfica. También se ha detectado que Viber almacena información sin cifrado en sus servidores, y sin un mecanismo de autenticación.

La falla fue reportada por el UNH Cyber Forensics Research & Education Group, el mismo que hace una semana alertó que WhatsApp podría dejar al descubierto la información geográfica enviada a los contactos a través de Google Maps.

“El problema principal es que los datos no están cifrados, dejándolos abiertos a ser interceptados a través de una Rogue o un ataque Man In The Middle (MITM)”, dice el comunicado del grupo. “Cualquiera que tenga acceso a esta información puede hacer lo que quiera con ella”.

En el siguiente video exponen la vulnerabilidad:

Para los atacantes, es posible acceder a la información de los usuarios interceptando la red inalámbrica. Esto se demostró cuando los investigadores interceptaron el tráfico de una computadora con Windows 7, que había sido configurada como punto de acceso a la red Wi-Fi para uno de los dispositivos móviles usados en la prueba. “Pudimos capturar el tráfico de la red usando varias herramientas como Network Miner, Wireshark y NetWitness", explicaron.

Para comprobar la falla, los investigadores utilizaron un HTC One con Android 4.4.2 y un Samsung Galaxy S4 con Android 4.3, con la versión 4.3.0.712 de Viber.

Descubrieron que la app almacena los datos públicamente en sus servidores por al menos una semana.

El UNH Cyber Forensics Research & Education Group ha reportado el incidente a Viber, pero todavía no ha recibido respuesta. Por el momento, recomiendan “asegurarse de que los datos están cifrados al enviarlos”.

Usuarios de plataformas como Viber o incluso WhatsApp tienen que estar alertas en materia de seguridad, ya que los cibercriminales buscan la forma de aprovechar la popularidad de dichas aplicaciones para propagar amenazas.