■Viber 2.0の暗号化対応は限定的
待望のViber 2.0がリリースされたので、暗号化対応について確認してみました。検証方法はここと同じです。動作を確認したViberのバージョンは2.0.1です。結論から言うと確かに一部通信はHTTPSに対応しており暗号化対応されているものの、肝心の連絡先の情報を送信するプロセスはこれまで通りで平文のまま、掛電時の相手先番号及び新機能のテキストメッセージも平文であることが確認されました。
また登録時にSMSが受け取れない場合「no code」ボタンから遷移するブラウザ画面へ引き渡されるURL中に電話番号がそのまま引数として設定されており、結果的に同ページで設定されているGoogleAnalyticsのURLにまでrefererとして電話番号が表示されている状況が確認されました。こちらもWebアプリの造り的にあまり望ましいものではないと思いました。現状を整理すると以下のようになります。
最新の記事
Viber 2.1遂に連絡先平文送信を変更
http://blog.isnext.net/issy/archives/1610
■暗号化されたことが確認できたもの(https://secure.viber.com: Thawteの証明書を利用)
・登録プロセスの一部(暗号化しないこともあり?)
・Deactivate accountのリンク(登録情報削除の機能)
■暗号化されていなかったもの
・連絡先情報の送信内容
・掛電時の電話番号
・テキストメッセージの内容
・no codeボタンで開くURLの画面
確かに2.0のリリース文には新機能としても変更点としても、暗号化について触れられていません。重要な部分が暗号化されていないことから、一部対応してはいるものの誤解を招かないよう表記しなかったのかもしれません。念のためキャプチャしながら複数回登録をやり直してみたのですが、同じ登録方法は短時間に繰り返せない仕様になっているようで、SMSが届かなかったり電話がかかってこなかったりとテスト状況が完全に同じプロセスを踏んでいないため、実際に動作が一部異なっているように見えたりと十分な検証とはいいにくいところはありますが、期待とは異なる結果になってしまったことは間違いないと思われます。
正式にViber社より暗号化対応の発表があるまでは、個人利用者の方については「Viberは通信時の暗号化対応が適切になされていない状態なので手放しでオススメはできないが、連絡先の情報を最小限にしてViber利用者に絞るなどリスクを覚悟して使う必要がある」と言うことになると思われます。ちなみに暗号化対応がされたとしても、もしPマーク等の個人情報保護体制認定プログラムの適用事業者に勤務している場合には、業務上利用しているiPhoneにViberはインストールしてはいけないということに変わりはありません。アドレス帳に取引先や従業員情報が入っていた場合、法人としてViber社と適切な契約状況になければ情報漏えいに該当すると判断される可能性が否定できないからです。
残念ながらQ1末までに期待した暗号化対応は果たされなかったわけですが、暗号化に対応する姿勢は実装にも現れているので、もうしばらく動勢を見てみようと思います。
※一部に誤解があるようですが、Viber社の掲示するプライバシーポリシーに記載されている第3者提供の条項はとても全うなものです。過去の記事にもあるようにViber社は現時点において説明通りであれば事業に必要な第3者と情報を共有しているに過ぎません。日本国内のPマーク事業者でもここまでまともなポリシーの記載と情報開示をしている企業はあまり例がないと思います。このblogで現在取り上げているリスクは、通信が暗号化されていないこと&クラウド環境にサーバがあることから、Viber利用者及びViber社以外の第3者が通信を盗聴することにより、何らかの被害が起きうる可能性に対しての問題提起であるとご理解いただければと思います。
(3 投票, 平均値/最大値: 4.67 / 5)
Loading...