■Viber 2.1遂に連絡先平文送信を変更
 本日ViberがVer2.1になったということで改めて登録プロセスをキャプチャして、送信内容の確認を試みてみることにした。結論から言うと、これまでTCP4244宛てに平文で送信されていた自端末に保存された連絡先情報は暗号化されたようだ。以下キャプチャで確認できたことを箇条書きにて。

・確認したのは実装が後追いになっていたAndroid版
・001HTにてアプリ起動から登録完了までをキャプチャ
・001HTの連絡先には自番号他ダミーデータを登録
・通話試験は未実施
・登録方法はSMSによるパスコード受信
・Version表示は2.1.0
・登録時の最初のsecure.viber.comへのアクセスはhttps
・電話番号送信はhttpsで送信される
・SMS受信待ちになり受信すると自動でパスコード入力してactivate
・activate後、aloha.viber.com宛てTCP5242へ接続
・認証情報を送信するサーバ情報を受けとる(と思われる)
・指定されたサーバに認証情報をTCP4244で送信する
 これまでのプロセスだとここで連絡先情報が平文で送信されている
 今回は4244の通信内容はSSLではないものの暗号化は実施されているようだ
 少なくともただのBase64エンコードだったりはしない
 暗号強度は不明だが平文で簡単に見られるようになってはいない
・登録完了後viberの電話帳を開いたりいくつかメニューを操作してみた
・viberを終了させてキャプチャも終了

 Viberリリースからかなり長い時間がかかったが、やっと登録時の通信内容が平文のままという恐ろしい状況は改善されたようだ。iPhone版もおそらく同様の改善がされていると推測できる。実機テストがすぐにできない状況なのでここでは割愛。残念なのはアップデートのリリース文にはこうした対応について何も書かれていないこと。実は海外でも平文で連絡先が送信されてたこと、送信先がamazon EC2のサーバ上だったことに気付いていた人は多くなかったかもしれない。むしろ書くことで平文だったのか!とクレームになることを避けたようにも見える。この辺りは誠実さに欠けるという見方もできるが、まぁとにかく約束は果たされたということで、個人的にはやれやれという感じ。明らかな不安材料はひとつ消えたということで、後はViber社が宣言の通り誠実に会社とシステムとポリシーを運用してくれることを願う。

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (6 投票, 平均値/最大値: 4.50 / 5)
Loading...
Trackback

31 comments untill now

  1. Viber 2.1遂に連絡先平文送信を変更 http://t.co/hfdyWssA 長かったね… #viber #voip #securityjp

  2. Viber 2.1遂に連絡先平文送信を変更 http://t.co/hfdyWssA 長かったね… #viber #voip #securityjp

  3. Viber 2.1遂に連絡先平文送信を変更 http://t.co/hfdyWssA 長かったね… #viber #voip #securityjp

  4. Viber 2.1遂に連絡先平文送信を変更 http://t.co/2qOitieu

  5. だそうです、よしよし。 [Web Clip] Viber 2.1遂に連絡先平文送信を変更 http://t.co/4VnNvmx8 B! #TaichisNews

  6. “Viber 2.1遂に連絡先平文送信を変更” http://t.co/SHoo7T9d

  7. “Viber 2.1遂に連絡先平文送信を変更” http://t.co/SHoo7T9d

  8. RT @isnext_blog: Viber 2.1遂に連絡先平文送信を変更 http://t.co/1bPl4ign

  9. @chiipin スカイプの進化版みたいなアプリ。普通の電話と遜色なく使える優れもの。リンク先を見ておkだと思ったら入れてくれれば俺たちと無料通話が! http://t.co/D1GSRqOW http://t.co/iOBhpAim http://t.co/G7t4CZk3

  10. Viber 2.1遂に連絡先平文送信を変更 http://t.co/hfdyWssA 長かったね… #viber #voip #securityjp

  11. 「Viber 2.1遂に連絡先平文送信を変更 http://t.co/0fMUuoXu 」待ちわびてました! ただし「確認はAndroid版のみ」との事なので、まだちょっと気が抜けない

  12. @takechi おおご指摘ありがとうございます(笑)そういえば、ちょっと気になっていたこちらも改善されているようですね。 http://t.co/xT9sXABP

  13. ようやく後ろめたさを感じずに、人にViberを薦められる。RT @isnext_blog: Viber 2.1遂に連絡先平文送信を変更 http://t.co/e1gd8zYR

  14. Viberがアドレス帳を平文で送るというセキュリティ問題は解決しているらしい。じゃあ、電話はViberか http://t.co/JpXpyi8m

  15. [B!] 連絡先を吸い上げ、しかも今までは平文でそれを送っていた…。これはandroid版だけど、まあiPhone版も同様でしょうね。 http://t.co/I8LMHNvj Viber 2.1遂に連絡先平文送信を変更|Linux/CGP作業メモ

  16. @mention4n Viber 2.1遂に連絡先平文送信を変更 http://t.co/lG8EVNqL

  17. Android版で連絡先暗号化を確認。iPhone版と暗号強度は不明。 http://t.co/TZem0WOL

  18. 最新バージョンのviberをインストールして、携帯に保存してあるアドレス帳の内容って第三者に漏れますか? これからどんどんユーザーが増えて行きそうな気がして使いたいものの、仕事でも使いうる携帯なのでインストールが危険かどうかの判断がつきかねています。 最新バージョンだったら大丈夫かな?とも思うのですが、、、知識の無い私に是非アドバイスを。。。。

  19. コメントありがとうございます。
    第三者に漏えいするかどうかということであれば「わかりません」と答えるしかありません。
    当初心配された登録時に平文で送信されている問題は解決しているようなので盗聴による被害リスクは低減していると思います。
    ただ暗号強度は不明ですので絶対安全と言えるかわかりません。またviber社のサーバに格納された後の安全性については、あまり情報がないので判断できません。
    取引先情報の漏えいが重大な支障になるような仕事で使うなら止めておいた方が無難な気がします…

  20. お返事ありがとうございました。
    viber、様子見つつ検討したいと思います。 個人情報がサーバー保管されるという仕組みは、facebookなどとはまた少し違うんでしょうか?
    facebookの場合は暗号化されて情報が送られているから安心だったりするんでしょうか??

    お手すきの時で構いませんので、教えて頂ければ幸いですm(_ _)m

  21. それは難しい比較ですね。
    データ保管の技術的仕組みについては公開されていないので確認のしようがありません。
    viberは仕組みさえ理解していれば扱う情報量が限定されている分アドレス帳のコントロールなどで比較的安全に利用可能ですが、facebookは友人間を主としたコミュニケーションの場で、個人情報となりえる情報の扱う範囲が広くなる上に、プライバシー保護の仕組みに(過去の経緯的にも)あまり積極的とは思えません。中長期的に利用する場合個人的にはviberよりも安全に使うのが難しいサービスだと感じています。
    ポリシーに書かれている内容を信じるならば、viberの方が情報の保管廃棄に至るまで詳細に説明されている分安心と言えるかもしれません。

  22. Viberのアレ、最近解決したみたいだね http://t.co/i0co1mAq

  23. これで使えるようになったかな。登録・・・しようかな? http://t.co/Lr1CUlke

  24. ご丁寧にお返事ありがとうございました!!とても参考になりました!! 安易に色々と考えていたので、(facebookはみんな使っているので大丈夫だろうという素人考え)、専門家のご意見をお聞きして、少しホッとしました。これから使い方も考えて行こうと思います! また、疑問があったら質問させてください m(_ _)m  ありがとうございました。これからもブログ更新、宜しくお願い致します。

  25. Viber 2.1遂に連絡先平文送信を変更 http://t.co/T2xjnWPN

  26. お、これは変更されてたんだ。 RT @isnext_blog: Viber 2.1遂に連絡先平文送信を変更 http://t.co/4YGIJdDO

  27. RT @isnext_blog: Viber 2.1遂に連絡先平文送信を変更 http://t.co/46Xmg0Hh
    ちょっと古いかも でも さらに古い記事で 気にしている人がいるので..

  28. @zero_shima 最近大丈夫になったみたい? http://t.co/RTgHY2UR

  29. @satorukanno @k4403 そういう噂ありましたよね。今調べてみたら、以前は連絡先情報を「平文で」送っていたが、現在は「暗号化して」送っているとのこと。要するに、連絡先情報は送ってるみたいですねw http://t.co/fulJUetL

  30. @yoshicodek ホントだ!取り敢えずは安心ですかね~。入れてみようかなぁ
    http://t.co/PytsEjXy

  31. @purairie @a_plusplus http://t.co/VddRLocnft 2.1以降は暗号化されたっぽい?