Menü
Mac & i

Messenger Viber überträgt Fotos und Ortsdaten ungeschützt

Beim Empfang von Bildern und Videos über den Messaging-Dienst können Dritte mitschauen, auch den Aufenthaltsort überträgt die App ungesichert. Ein Update für iOS und Android soll das Problem beseitigen.

vorlesen Drucken Kommentare lesen 20 Beiträge

Die Messenger-App Viber empfängt Bilder, Videos und Standortdaten ungesichert. Ein Angreifer kann diese Daten deshalb problemlos aufzeichnen, wie die Cyber Forensics Research and Education Group der University of New Haven (UNHcFREG) in einem Video demonstriert.

Verschickt der Nutzer eine Kartenansicht seines Aufenthaltsortes, lässt sich diese ebenfalls bei einem Man-in-the-Middle-Angriff mitlesen – beispielsweise in einem öffentlichen WLAN.

Viber speichert nach Angabe der Sicherheitsforscher zudem Bilder und Standortdaten im Klartext auf Amazons Servern und verzichtet auf einen Authentifizierungsmechanismus – wer die spezifische URL kennt, kann auf die Nutzerinhalte zugreifen. Man habe Viber über die Lücke in Kenntnis gesetzt, aber keine Reaktion erhalten und sich deshalb zur Veröffentlichung entschlossen, schreiben die Mitarbeiter der University of New Haven.

Ein Update der iOS- und Android-App soll die Schwachstelle beseitigen, betonte der Messenger-Entwickler gegenüber Cnet Ende vergangener Woche – die neue Version werde am Montag bei Apple zur App-Store-Prüfung vorgelegt. Derzeit liegt weder für die iOS- noch Android-App ein Update vor. Betroffen ist mindestens Version 4.3.0.712 der Software – ob der Fehler auch in den Viber-Apps für andere Betriebssysteme wie Windows Phone oder Mac OS X auftritt, bleibt unklar.

Video-Demonstration der Schwachstelle in Viber

Viber war im vergangenen Jahr Opfer der Hackergruppe Syrian Electronic Army, die über ein Supportforum des Messaging-Dienstes offenbar auch auf Nutzerdaten zugreifen konnte. Der japanische Online-Händler Rakuten hat den Messenger Mitte Februar für 900 Millionen Dollar aufgekauft. Viber hat nach eigener Angabe über 100 Millionen aktive Nutzer. (lbe)