Tras las vulnerabilidades comentadas recientemente sobre la aplicación de mensajería WhatsApp, que podrían exponer a los usuarios a compartir su posición mediante GPS con los hackers, nos toca hablar de otra popular app para smartphones: Viber .

El mismo grupo de investigadores ha localizado un importante fallo en la conocida aplicación social Viber. Comentan que la pobre implementación de la seguridad encontrada en la aplicación pone en peligro la privacidad de sus usuarios, que superan los 150 millones.

La plataforma Viber permite a un usuario registrado el envío de mensajes de textos, imágenes, vídeos y localización GPS con otras personas, además de su característica más apreciada: llamadas de voz gratuitas. Está disponible para Android, iOS, BlackBerry, Windows Phone y Compatibles.

Viber filtra nuestra posición GPS y datos

Los ivnestigadores han descubierto que los datos de usuario almacenados en los servidores de Amazon Viber, incluyendo vídeos e imágenes, están almacenados sin cifrar y podrían ser accesibles sin requerir autenticación. Así, en caso de que un atacante intercepte un simple enlace en una web, sería suficiente para disponer de todos los datos asociados.

Se ha creado un vídeo explicativo , que demuestra que Viber no está cifrando ningún dato, ya sean archivos de medios o de posición GPS, en sus servidores. Esto permitiría a los hackers capturar el tráfico sin cifrar mediante un ataque MiTM (Man in The Middle).

"El principal problema es que los datos mencionados no están encriptados, dejándolos disponibles para ser interceptados a través de un punto de acceso malicioso, o cualquier modalidad de ataque man-in-the-middle "

Un atacante que esté utilizando una herramienta de testeo de paquetes de red, como Network Miner, Wireshark o NetWitness tendría los datos a su merced.

Cualquiera, incluso los ISP o Proveedores de Servicio, sería capaz de recopilar estos datos. Y cualquiera que establezca un rogue AP o ataques de intercepción como ARP Poisoning sería capaz de capturar el tráfico sin cifrar, como vídeos, imágenes o localización GPS recibidos por el smartphone.

Los investigadores han sido cautos, compartiendo las vulnerabilidades descubiertas con los desarrolladores antes de publicarlas en la red, aunque el equipo de Viber aún no ha ofrecido una respuesta.