Viber er med 300 millioner registrerte brukere en av verdens mest populære mobile meldingstjenester.
Da virker det underlig at tjenesten verken krypterer innholdet på egne servere, og heller ikke meldingene sendt mellom brukerne.
Meldinger, bilder, videosnutter og lokasjonsdata blir tilsynelatende lagret og formidlet uten noen form for sikring.
Det er forskere ved University of New Haven i den amerikanske delstaten Connecticut som kan avsløre den grove tabben, melder IT-sikkerhetsselskapet Sophos.
Forskerne har publisert et klipp på Youtube, som viser hvor enkelt det er å avskjære Viber-meldinger sendt mellom to mobiltelefoner. Dette kan gjøres ved å sette opp et falsk WiFi-aksesspunkt, eller et hvilket som helst sniffeprogram i samme lokalnett eller hvor som helst i nettverket mellom brukeren og serverne til Viber.
Uvedkommende kan sågar lese meldinger fra Vibers serverpark direkte, så fremt de kjenner URL til meldingene. Her er det ingen autentisering, ifølge forskerne fra universitetets Cyber Forensics Research & Education-gruppe.
Funnet skal først ha blitt rapportert til Viber, men selskapet svarte aldri på henvendelsen, oppgir forskerne Ibrahim Baggili (PhD) og Jason Moore i sin kunngjøring.
Cnet har derimot fått Viber i tale. Selskapet hevder overfor avisen at «problemet snart skal fikses».
– Dette problemet er allerede løst. [Fiksen] blir for øyeblikket kvalitetssikret og blir lansert til Android og oversendt til Apple på mandag. Så langt er vi ikke kjent med at noen av brukerne vært har blitt berørt av dette, heter det i en uttalelse fra Viber.
Dette virker urovekkende. En moderne meldingstjeneste burde aldri ha satt seg selv i en situasjon der de må «fikse» en slik tabbe, mener Sophos. Sikkerheten og brukernes personvern burde vært innebygget i løsningen helt fra starten av.
Uttalelsene fra Viber gir heller ingen indikasjon på hva de eventuelt har tenkt å gjøre med svakhetene på serversiden. Hvorfor er det mulig å hente opp meldinger via URL helt uten noen form for autentisering?
Sophos er også svært kritisk til at Viber heller ikke skriver noe om meldingstjenestens øvrige klienter. Viber finnes også til Windows desktop, Windows Phone, Blackberry, Bada og Symbian
– I lys av alt dette virker påstandene fra Viber om at «vi er ikke kjent med at noen av brukerne våre er berørt» temmelig hult, skriver IT-sikkerhetsselskapet.
Les også:
- [17.02.2014] Blar opp for Viber