Viber какие данные собирает
Как телефоны следят за нами? Что значит сквозное шифрование? И можно ли перехватить переписку в защищенном мессенджере? На эти и другие вопросы нам ответила директор по глобальному развитию бизнеса Rakuten Viber Анна Знаменская.
Фото: Ян ЯКОВЧИК, Intex-press
Как смартфон следит за нами (и зачем поисковики и соцсети собирают о нас данные)?
— Правильно будет сказать, что сервисы и приложения, которые мы устанавливаем и используем на своих гаджетах, хранят некоторую информацию о нас, — рассказала директор по глобальному развитию бизнеса Rakuten Viber Анна Знаменская. — Например, поисковые системы хранят запросы пользователей, приложения такси помнят наши передвижения по городу. Цель сбора таких данных — оптимизировать работу сервиса с этим конкретным пользователем и сделать его опыт взаимодействия удобнее и проще. Например, облегчить ему поиск нужного маршрута, предложив точки из истории поездок, показывать релевантную для пользователя рекламу и так далее. Эта информация не хранится в общедоступном месте, и кто угодно завладеть этими данными, конечно же, не сможет.
Некоторые данные предоставляются самим пользователем на этапе регистрации в сервисах и приложениях, некоторые — в процессе их использования. Важно понимать, что сбор данных — не запрещенная и тайная процедура, которую совершают компании за спиной пользователя, эта информация не собирается нелегально. При регистрации в системе, если мы сейчас говорим про компании, которые ведут свою деятельность официально и согласно букве закона, человеку всегда предлагают ознакомиться с пользовательским соглашением. В нем можно найти пункт об использовании персональных данных, в частности про сбор, обработку, хранение, передачу и так далее. У разных компаний объем и цели использования данных могут различаться, но, как правило, незначительно. Согласно этому договору у двух сторон есть определенные права, есть и обязанности. Человек всегда может отказаться от использования сервисов компании, если не согласен с этими условиями.
Согласно нашей политике конфиденциальности, мы собираем только те минимальные данные, которые позволяют предоставлять услуги связи через Viber на самом высоком уровне. Например, имя и фото, которые сам пользователь решает показать или нет, будут видны другим пользователям — участникам групповых чатов. Viber может отправлять вашим контактам уведомления о вашем дне рождения, но опять же у пользователя есть возможность отключить эту функцию в настройках мессенджера. Чтобы обеспечить самый высокий уровень безопасности для лиц младше 16 лет, мы также спрашиваем возраст наших пользователей при регистрации.
Как шифруются данные в мессенджерах и что такое сквозное шифрование?
— Мессенджеры используют разные механизмы защиты данных, — продолжает специалист. — Я бы рекомендовала использовать те приложения для общения, где включена технология сквозного шифрования по умолчанию.
Анна добавляет, что не так давно IT-компания Artezio (входит в группу компаний ЛАНИТ) составила рейтинг самых безопасных мессенджеров в мире — по сути это шорт-лист приложений для общения, которые могут обеспечить высокий уровень приватности. В чек-лист тестирования вошло более 30 мессенджеров, которые ранжировались по пятидесяти критериям. В итоговый раунд тестирования прошли только мессенджеры с end-to-end encryption, которые способны обеспечить действительно высокий уровень защиты передаваемых данных. В итоге в тройку самых безопасных мессенджеров по версии Artezio вошли Signal, Wickr и Viber, который опередил Telegram.
Если шифрование сквозное, то могут ли взломать переписку со стороны?
Сохранение права собственности на данные и их конфиденциальность очень важны. Человек инстинктивно меняет свое поведение, когда знает, что за ним наблюдают, и ограничивает себя тем, что считает социально приемлемым.
Несмотря на то, что люди обычно не чувствуют прямой угрозы со стороны интернет-мониторинга, с помощью мессенджеров могут быть собраны данные личных переписок многих людей и они могут быть использованы против них самих. Технологии быстро развиваются, и данные, которыми люди делятся сегодня, могут быть завтра использованы способами, о которых никто не мог даже подумать.
Какие мессенджеры сливают пользовательские данные?
Предварительный просмотр ссылок – чем опасен?
К сожалению, эта функция также может сливать конфиденциальные данные, использовать ограниченную пропускную способность, разряжать аккумуляторы мобильных устройств и, в некоторых случаях, даже открывать ссылки в чатах, которые должны быть зашифрованы.
Как работает предварительный просмотр ссылок в мессенджерах?
iMessages
После отправки ссылки мобильное устройство сгенерирует карточку предварительного просмотра. Все данные обрабатываются локально с устройства. Получатель не будет захватывать URL-адрес, но будет иметь данные предварительного просмотра, то есть данные кэшируются на сервере Apple. Также возможно, что данные напрямую отправляются получателю через зашифрованный канал.
Отправитель сгенерирует предварительный просмотр ссылки (захватит метаданные из URL-адреса) и отправит эти данные получателю через сервер. Это произойдет, даже если задействовано сквозное шифрование.
Какие мессенджеры наиболее «опасны»?
Не следует использовать мессенджеры, у которых нет сквозного шифрования. Они делятся пользовательскими данными с правительствами разных стран, сторонними компаниями и всеми, кто действительно готов за них заплатить.
Многие мессенджеры работают в фоновом режиме (отсылают уведомления, обновляются, отслеживают местоположение и т.д.) из-за чего «съедают» заряд аккумулятора и интернет-трафик.
Приложения, которые активнее всего «съедают» заряд аккумулятора и интернет-трафик:
- Viber.
- Facebook Messenger.
- Skype.
Советы и выводы
Будет полезно провести собственное исследование (и проверить, является ли информация, которую получится найти, действительно свежей и актуальной), или, если человек находится в ситуации, которая требует предельно строгой конфиденциальности, поговорить с квалифицированным экспертом.
Пожалуйста, опубликуйте ваши мнения по текущей теме материала. Мы крайне благодарны вам за ваши комментарии, лайки, подписки, отклики, дизлайки!
Пожалуйста, опубликуйте ваши мнения по текущей теме материала. За комментарии, отклики, лайки, дизлайки, подписки низкий вам поклон!
Реклама и спам
Поэтому не стоит позволять своим детям использовать данный мессенджер.
Обман и лишние траты
В том, что разработчики установили тарифы на определенные функции, нет ничего необычного. Однако ценники в приложении не соответствуют в действительности. Дело в том, что все цены на звонки указываются в долларах.
При пополнении счета в другой валюте программа автоматически переводит ее в нужную. Однако конвертация происходит по завышенному курсу. Соответственно, пользователям приходится переплачивать.
Вредоносное поддельное приложение
Помимо того, что сам Вайбер имеет множество минусов, в сети можно наткнуться на поддельное приложение. Фальшивый мессенджер собирает фотографии и видео пользователей, записывает звонки.
После установки ПО получает у владельца разрешение на полный контроль над смартфоном. Полученные данные программа передает мошенникам.
Чтобы избежать подобных проблем, необходимо скачивать приложения только с официального сайта, App Store или Google Play. Ссылки на сторонних страничках чаще всего перенаправляют пользователей на поддельное ПО.
Воровство (данных и денег)
Некоторые пользователи жалуются на беспричинное списание средств в Вайбере. Помимо этого приложение не шифрует данные, поэтому мошенники очень легко могут получить к ним доступ. Это достаточно веская причина, чтобы перейти на другой, более безопасный мессенджер.
Некачественная связь в самый важный момент
По сравнению с другими приложениями Вайбер предоставляет пользователям слишком низкое качество связи. Во время разговора возникает лишний шум, голос прерывается, а видео подвисает.
Такие мессенджеры как Телеграмм, WhatsApp или Skype уже давно устранили подобные проблемы.
На сегодняшний день пользователи интернета имеют возможность использовать качественные средства связи. У таких мессенджеров, как Вайбер, появились более достойные конкуренты. Они обеспечивают безопасность звонков и защиту личных данных.
Не так давно стало известно об уязвимости в iMessage. Как обнаружил независимый исследователь Росс Маккиллоп (Ross McKillop), предварительный просмотр URL раскрывает данные об IP-адресе пользователя, версии ОС и другие данные об устройстве. Причина заключалась в том, что при построении превьюшки запросы отправлялись непосредственно с устройства. Таким образом, когда iMessage запрашивал данные о каком-либо сайте, то раскрывал адрес пользователя и сведения о его устройстве.
Более корректная архитектура мессенджера предполагает предварительное кеширование контента на своих серверах и дальнейшую загрузку уже оттуда, как это реализовано, например, в Facebook, Twitter и Skype. Давай разберемся, как строится preview по URL в Viber и какие последствия может иметь маленький недочет в проектировании ПО.
Кто принимал участие в исследовании
- Игорь @almart_oO (автор статьи)
- Комьюнити cybersec.kz (ЦАРКА)
- Тимур Юнусов (Positive Technologies)
- Сергей Белов (Digital Security)
- Антон «Bo0oM» Лопаницын (Wallarm)
На этот раз Viber успешно перенаправил обоих участников переписки — это говорит о том, что Viber выполняет верификацию картинки с помощью начального HEAD-запроса.
А теперь давай проведем эксперимент с cookie. Разместим на сервере простой скрипт для генерации картинки со значением из cookie, увеличивая его на единицу при каждом запросе:
В .htaccess добавим записи:
Эксперимент с cookie
Особенности Windows-клиента Viber
А теперь заглянем в директорию Viber, обычно это C:\Users\username\AppData\Local\Viber . Наличие файла Qt5WebEngine.dll , как и UserAgent Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_4) AppleWebKit/537.36 (KHTML, like Gecko) QtWebEngine/5.6.0 Chrome/45.0.2454.101 Safari/537.36 , который мы наблюдали при создании миниатюр, подсказывает, что используется Qt-модуль QtWebEngine . Надо сказать, что в большинстве Windows-версий популярных браузеров реализован механизм аутентификации с помощью NTLM, имеющий по умолчанию ограниченный список ресурсов, вход на которые выполняется автоматически.
NTLM-аутентификация
В Firefox разрешенные ресурсы задаются полем network.automatic-ntlm-auth.trusted-uris в редакторе настроек about:config . По умолчанию данный список пуст.
В Chrome и IE политика безопасности в отношении NTLM-аутентификации строится на основе настроек IE ( Tools > Internet Options > Security > Internet > User Authentication > Logon ). По умолчанию там задан параметр Automatic logon only in Intranet zone , разрешающий автологин только внутри интрасети.
Компонент QtWebEngine в Qt Designer
Запросы NTLM-аутентификации в WireShark
Эксплуатация
Рассмотрим возможные сценарии атаки, используя то, что мы знаем о Viber.
IP disclosure
Redirect to LAN
Предположим, нам известно, что интернет-провайдер атакуемого клиента Viber использует роутеры на GPON Home Gateway со стандартными паролями, но без выведения управления в WAN. Для перенастройки роутера необходимо выполнить вход, затем сохранить конфигурацию WAN-интерфейса. Нам уже известно, что Viber хранит cookie, благодаря чему после первого запроса аутентификации остальные выполнятся уже с идентификатором сессии. Отправим два редиректа.
и сохранение WAN-настроек:
В результате имеем открытый TR-069 на WAN-интерфейсе клиентского роутера. PHP-скрипт для реализации редиректа выглядит следующим образом:
LAN scan
Просканируем предполагаемую локальную сеть атакуемого пользователя. Для этого нам понадобится DNS-сервер с конфигурацией зоны для network.host, содержащей следующие записи:
NTLM hashjacking
Далее происходит обмен пакетами NTLMSSP_NEGOTIATE , NTLMSSP_CHALLENGE и NTLMSSP_AUTH , а в выводе Responder’а мы получаем данные пользователя, включая NTLMv2-хеш:
Даже если пароль надежен, hashjacking в Viber может использоваться для Relay-атак на многочисленные сервисы с NTLM-аутентификацией.
Вместо заключения
Вот такие вот дела. Как видишь, этот мессенджер тоже уязвим и позволяет проводить довольно серьезные атаки.
Читайте также: