■Viber 2.0の暗号化対応は限定的
待望のViber 2.0がリリースされたので、暗号化対応について確認してみました。検証方法はここと同じです。動作を確認したViberのバージョンは2.0.1です。結論から言うと確かに一部通信はHTTPSに対応しており暗号化対応されているものの、肝心の連絡先の情報を送信するプロセスはこれまで通りで平文のまま、掛電時の相手先番号及び新機能のテキストメッセージも平文であることが確認されました。
また登録時にSMSが受け取れない場合「no code」ボタンから遷移するブラウザ画面へ引き渡されるURL中に電話番号がそのまま引数として設定されており、結果的に同ページで設定されているGoogleAnalyticsのURLにまでrefererとして電話番号が表示されている状況が確認されました。こちらもWebアプリの造り的にあまり望ましいものではないと思いました。現状を整理すると以下のようになります。
最新の記事
Viber 2.1遂に連絡先平文送信を変更
http://blog.isnext.net/issy/archives/1610
■暗号化されたことが確認できたもの(https://secure.viber.com: Thawteの証明書を利用)
・登録プロセスの一部(暗号化しないこともあり?)
・Deactivate accountのリンク(登録情報削除の機能)
■暗号化されていなかったもの
・連絡先情報の送信内容
・掛電時の電話番号
・テキストメッセージの内容
・no codeボタンで開くURLの画面
確かに2.0のリリース文には新機能としても変更点としても、暗号化について触れられていません。重要な部分が暗号化されていないことから、一部対応してはいるものの誤解を招かないよう表記しなかったのかもしれません。念のためキャプチャしながら複数回登録をやり直してみたのですが、同じ登録方法は短時間に繰り返せない仕様になっているようで、SMSが届かなかったり電話がかかってこなかったりとテスト状況が完全に同じプロセスを踏んでいないため、実際に動作が一部異なっているように見えたりと十分な検証とはいいにくいところはありますが、期待とは異なる結果になってしまったことは間違いないと思われます。
正式にViber社より暗号化対応の発表があるまでは、個人利用者の方については「Viberは通信時の暗号化対応が適切になされていない状態なので手放しでオススメはできないが、連絡先の情報を最小限にしてViber利用者に絞るなどリスクを覚悟して使う必要がある」と言うことになると思われます。ちなみに暗号化対応がされたとしても、もしPマーク等の個人情報保護体制認定プログラムの適用事業者に勤務している場合には、業務上利用しているiPhoneにViberはインストールしてはいけないということに変わりはありません。アドレス帳に取引先や従業員情報が入っていた場合、法人としてViber社と適切な契約状況になければ情報漏えいに該当すると判断される可能性が否定できないからです。
残念ながらQ1末までに期待した暗号化対応は果たされなかったわけですが、暗号化に対応する姿勢は実装にも現れているので、もうしばらく動勢を見てみようと思います。
※一部に誤解があるようですが、Viber社の掲示するプライバシーポリシーに記載されている第3者提供の条項はとても全うなものです。過去の記事にもあるようにViber社は現時点において説明通りであれば事業に必要な第3者と情報を共有しているに過ぎません。日本国内のPマーク事業者でもここまでまともなポリシーの記載と情報開示をしている企業はあまり例がないと思います。このblogで現在取り上げているリスクは、通信が暗号化されていないこと&クラウド環境にサーバがあることから、Viber利用者及びViber社以外の第3者が通信を盗聴することにより、何らかの被害が起きうる可能性に対しての問題提起であるとご理解いただければと思います。
Viber 2.0の暗号化対応は限定的 http://blog.isnext.net/issy/archives/926 #viber Viber 2.0の暗号化対応について確認しました
iPhoneアプリ「Viber」。バージョンアップでも結局平文送信は変わらないのか.【Viber 2.0の暗号化対応は限定的】http://bit.ly/gPj9Vp
今回のバージョンでも肝心なところは平文のままらしいです。 RT @isnext_blog: Viber 2.0の暗号化対応は限定的 http://is.gd/vCmX8X
待ちわびていただけに残念。。 RT @isnext_blog: Viber 2.0の暗号化対応は限定的 http://is.gd/vCmX8X
@jazzmanbo 今つぶやきましたが、Viber削除しましたのでお知らせしますね。Skypeを継続利用します。http://p.tl/mACk
震災直後の回線が混乱してた時期はあえて黙ってたんだけど、Viberのプライバシー上の問題点は未だ解決していないみたいね。|■Viber 2.0の暗号化対応は限定的 http://t.co/9hnVXxn
RT @kenken610: 震災直後の回線が混乱してた時期はあえて黙ってたんだけど、Viberのプライバシー上の問題点は未だ解決していないみたいね。|■Viber 2.0の暗号化対応は限定的 http://t.co/9hnVXxn
もう電話帳送っちゃったから後は使うだけだけど。Viberの暗号化。http://bit.ly/h9800t
tangoはどうなんでしょうか?ぜひ検証お願いします。
コメントありがとうございます
機会があればMobylerと合わせて確認してみたいとは思います
「Viber 2.0の暗号化対応は限定的 http://bit.ly/fbxaTm 」無料通話アプリ #Viber の暗号化verは、根本的な部分が対象に含まれていない模様。もうちょい様子見だなー
@takumafujiwara やー連絡先情報を暗号化せずに流してる時点で問題はありかと。ただ意図的に悪用するかどうかで問題の桁が変わるんで、その辺の新情報あったのかと思ったです。ver↑で状況改善してない以上セキュリティ意識は低そう…… http://bit.ly/h9800t
RT @isnext_blog: Viber 2.0の暗号化対応は限定的 http://is.gd/vCmX8X
viber 導入してみたいけど、まだ待ったほうがいいかなあ。人に迷惑かけんのはちょっと怖いな。 http://bit.ly/jaEtaT 【BESTGAMEON みんなのゲームランキング http://bestgameon.net/】
Android版のも2.0.・・・ってことは4月時点と同じ感じなのかな・・・? RT @isnext_blog: Viber 2.0の暗号化対応は限定的 http://is.gd/vCmX8X
http://bit.ly/jJ12W8 のことらしい
4月の記事だけど、この時から変化あったのかな?Android版も同じなのかしら。
> Viber 2.0の暗号化対応は限定的 http://blog.isnext.net/issy/archives/926
Android版のViberも出たことだし暗号化されずにアドレスに入ってるデータが平文で送られる問題は改善されたのかと思って調べてみたらまだだったのねw『Viber 2.0の暗号化対応は限定的』 http://bit.ly/nDntNi
Viber 2.0の暗号化対応は限定的
http://bit.ly/nz6Cnc
@Etsuo2010 @aokimakoto 調べたらまだ平文で送ってるみたいですね。4月時点の情報ですけど。
http://bit.ly/pJCXOT
http://bit.ly/nf50U0
ほうほう。>
Linux/CGP作業メモ: Viber 2.0の暗号化対応は限定的 http://t.co/x6lFbBl
【「Viber」の注意点】http://t.co/kHpb5dJ
Viber 暗号化対応は限定的 http://t.co/07TnL9f
2.0.4ではどうなんだろう。アドレス帳が暗号化されずに送信されるのであれば、自分が使わなくても友人が使っただけで自分の連絡先が流出する可能性がある。
@katasan こっちか http://t.co/YXHWha2K
Viber 2.0の暗号化対応は限定的 http://t.co/giOHCS44
あ、でもそうなのね。残念。RT @isnext_blog: Viber 2.0の暗号化対応は限定的 http://t.co/4kHU9nsI
@lml666lml はむさんも使ってる相手の方も、viber社のサーバーに番号渡してること納得してるんであれば使っててもいいと思うけど、不安感じるならやめたほうがいいかも。テキストメッセージも番号も暗号化されてないらしいよ(´Д`;) http://t.co/TEjC0UcL
Viberが便利とか危険とか、根拠がはっきり示されないコメントを多く見かけるので、実際どうなのかはこのへんの記事をご参照。後は自己判断で。 http://t.co/1O1QlRuT http://t.co/dbYejY1P