App-Test

Viber: Telefonie- und Messenger-App

Ein Artikel von , veröffentlicht am 20.04.2017
Bild: CC0 Pixabay / geralt

Viber ist ein kostenloser Messenger mit Anruf-Funktion. Die App wird für die meisten Desktop-Systeme und Smartphones angeboten. Unser Test auf Android zeigt: Es werden viele sensible Informationen übermittelt – auch von unbeteiligten Dritten.

Was ist Viber?

Neben dem Austausch von Nachrichten kann man mit Viber auch Festnetznummern, Mobilnummern oder andere Viber-Nutzer über das Internet anrufen (IP-Telefonie). Die Kommunikation mit anderen Viber-Nutzern ist kostenfrei – ausgehende Anrufe zu Personen, die nicht Viber nutzen, sind kostenpflichtig.

Viber läuft sowohl auf dem Desktop, als auch auf dem Smartphone. Anbieter der App ist die Viber Media S.à r.l. mit Hauptsitz in Luxemburg. Im Frühjahr 2014 wurde Viber vom japanischen Unternehmen Rakuten übernommen. Nach eigenen Angaben nutzen aktuell rund 200 Millionen Menschen in 193 Ländern den Dienst Viber. (Stand April 2017).

Unser Test im Überblick

Bei der Installation von Viber verlangt die App Zugriff auf verschiedene Berechtigungen, die nicht zwangsläufig für den Austausch von Nachrichten oder zum Telefonieren notwendig sind. Als Nutzer-ID wird die Handynummer verwendet, über die man sich vor der Anmeldung identifizieren muss. Nach dem Start der App verbindet sie sich zu den Servern von Viber, aber auch zu Drittanbietern wie Facebook und diversen Tracking-Diensten.

Ausgetauschte Nachrichten werden unverschlüsselt auf dem Smartphone abgelegt. Viber informiert in seiner Datenschutzerklärung über die Erfassung, Verwendung und Weitergabe von übermittelten Daten – nennt allerdings nicht alle Drittanbieter. Insgesamt erfasst die Viber Media S.à r.l. viele sensible Informationen der Nutzer und ihren gespeicherten Kontakten.

Die wichtigsten übermittelten Informationen

  • Adressbuch
  • Geräte-Modell und Hersteller
  • Detaillierte Angabe über die Android Version (inkl. Build-Name)
  • Eingestellte Sprache und Länderkennung
  • Android Werbe-ID
  • Eindeutige Android Geräte-ID
  • Universally Unique Identifier (UUID)
  • Eigene Telefonnummer
  • Mobilfunkanbieter und Provider-Netz
  • MAC-Adresse der WiFi-Schnittstelle
  • IMEI- und IMSI-Nummer
  • Abfrage nach Verfügbarkeit von Google Play-Diensten, NFC-Chip, Bluetooth

Unsere Testergebnisse im Detail

Getestet haben wir die Viber-Version 6.7.0 aus dem Play-Store, mit der Android-Version 6.0.1. Dieser Test gibt keine Auskunft über abweichende Versionen.

Ausführliche Informationen dazu, wie unsere App-Rezensionen aufgebaut sind, welche Tests wir durchführen und was wir damit erreichen wollen, finden Sie im Hintergrundtext Was untersuchen wir in App-Rezensionen?

Auf welche Daten kann die App zugreifen?

Für eine Messenger-App mit Anruf-Funktion sind nicht alle angeforderten Berechtigungen notwendig. So ließe sich die Funktionalität auch ohne Berechtigungen wie „Geräte- & App-Verlauf“ oder „Standort“ realisieren.

Viber ist zwar mit Android 6 kompatibel, wurde allerdings noch nicht optimal angepasst. Die App fordert daher noch alle Zugriffsrechte bei der Installation ein, und nicht, wie bei Android 6.0 vorgesehen, erst bei Bedarf über ein Hinweisfenster an. Über „Einstellungen → Apps → Viber → Berechtigungen“ lassen sich einige Berechtigungen verwalten. Die App funktionierte in unserem Test nicht ohne Zugriff auf das Adressbuch. Standardmäßig erhält die App zunächst Zugriff auf die folgenden Ressourcen (Tippen Sie auf die Links, um zu erfahren, was die einzelnen Berechtigungen bedeuten):

Kamera

Kontakte

Mikrofon

SMS

Speicher/Medien

Standort

Telefon

Sonstige

Wir empfehlen, die Berechtigungen so weit möglich einzuschränken.

Wie Sie App-Berechtigungen einschränken, erklären wir im Beitrag App-Berechtigungen anzeigen und verwalten (Android 6.0).

Wohin verbindet sich die App?

Viber: Zur Diensterbringung werden diverse Verbindungen zu den Servern der Viber Media S.à r.l. aufgebaut. Die Kommunikation wird mit TLS verschlüsselt, auf eine zusätzliche Absicherung über Certificate Pinning verzichten die Hersteller. Die anschließende Kommunikation zwischen Viber-Nutzern erfolgt Ende-zu-Ende verschlüsselt über Amazon-Server. Unter anderem werden folgende Informationen übermittelt:

Was TLS bedeutet, und wie Certificate Pinning mehr Sicherheit bringt, erklären wir im Beitrag TLS/SSL: Fragen und Antworten.

Amazon: Die Kommunikation zwischen den Nutzern erfolgt über Amazon-Server. Aufgrund der verteilten Infrastruktur von Amazon bleibt unklar, in welchem Land die Speicherung und Verarbeitung erfolgt.

Facebook: Direkt nach dem Start nimmt die App Verbindung zu Facebook auf. Nutzer können ihr bestehendes Facebook-Konto mit Viber verknüpfen, um Angaben wie Name oder Profilbild zu übernehmen. Eine Verbindung zu Facebook wird jedes mal aufgebaut – auch wenn der Nutzer kein Facebook-Konto hat oder die Anmeldemöglichkeit nicht nutzen möchte.

Twitter / Facebook: Wenn Sie Ihren Facebook- oder Twitter-Account mit Viber verknüpfen, gewähren Sie der App laut der Datenschutzerklärung „den ununterbrochenen Zugang zu den persönlichen Daten“. Dazu zählen unter anderem:

  • Das öffentliche Profil
  • Freundeslisten
  • Konten, denen ein Nutzer folgt oder die ihm folgen
  • E-Mail-Adresse
  • Geburtstag
  • Berufsgeschichte
  • Ausbildungsgeschichte
  • Interessen
  • aktueller Wohnort
  • Video Viewing

Google: Unmittelbar nach dem Start werden Verbindungen zu unterschiedlichen Google-Adressen aufgebaut. Über diesen Kanal erhält Google die Rückmeldung, dass der Nutzer die Viber-App gestartet hat. Unter anderem werden Informationen zum Google-Konto übermittelt, darunter die E-Mail-Adresse und die Versionsnummer der Google-Play-Dienste.

Analyse / Tracker: Direkt nach dem Start der App werden Verbindungen zu den Analyse-Plattformen Mixpanel, adjust und dem Crash-Analyse-Dienst Crashlytics aufgebaut. Die integrierten Analyse- und Tracking-Bibliotheken verfolgen die Aktionen des Nutzers innerhalb der App. Unter anderem werden diese Informationen übertragen:

Wie sicher speichert die App meine Daten?

Viber wirbt mit einer Ende-zu-Ende Verschlüsselung von Telefongesprächen und verschickten Nachrichten. Dabei werden die Nachrichten vor dem Versenden lokal auf dem Gerät verschlüsselt und erst beim Empfänger wieder entschlüsselt.

Trotz dieser Sicherheitsmaßnahme werden alle Nachrichten unverschlüsselt auf dem Gerät abgelegt. Jemand mit Zugang zum Gerät könnte alle empfangenen und versendeten Nachrichten einsehen, falls das Gerät nicht verschlüsselt ist.

Wie Sie Ihr Android-Gerät ganz einfach verschlüsseln können, erklären wir im Beitrag Android Verschlüsseln.

Was sagt die Datenschutzerklärung?

Die im Google Play-Store verlinkte Datenschutzerklärung verweist auf die Webseite der Viber Media S.à r.l. Innerhalb der App ist die Datenschutzerklärung über „Einstellungen → Datenschutz → Privacy Policy“ erreichbar.

Die Viber Media S.à r.l. begründet die umfangreiche Sammlung von Nutzerdaten mit der Bereitstellung, Optimierung und Verbesserung seiner Dienstleistung.
Kritisch ist die Erfassung des Adressbuchs, da Daten von Kontakten übermittelt werden, die Viber womöglich nicht nutzen. So landen Daten von Dritten auf den Servern der Viber Media S.à r.l., die den Dienst möglicherweise gar nicht nutzen, und die Geschäftsbedingungen nie akzeptiert haben. Es ist derzeit noch nicht geklärt, inwiefern dieses Vorgehen rechtswidrig ist.

Insgesamt informiert die Viber Media S.à r.l. transparent über die Erfassung, Verwendung und Weitergabe der übermittelten Daten und Informationen. Drittanbieter wie Mixpanel oder adjust werden allerdings nicht explizit genannt.

Werden nur notwendige Daten erhoben?

Das Prinzip der Datensparsamkeit wird nicht umgesetzt. Es ist nachvollziehbar, wenn für die Diensterbringung Informationen wie zum Beispiel die Telefonnummer oder ein Benutzername erhoben werden. Weniger verständlich ist die Erfassung von Informationen, wie eindeutige Identifizierungsmerkmale (Seriennummer des Geräts, IMEI- /IMSI-Nummer, WLAN MAC-Adresse) und die Übermittlung des kompletten Adressbuchs.

Die Einbindung externer Tracking-Dienstleister wie adjust oder auch die Anbindung an Facebook sind hinsichtlich der Datensparsamkeit ebenfalls problematisch. Denn an solche Dienste werden auch immer die Nutzungsdaten übertragen.

Weitere Artikel

Ratgeber 

Wrapper: Facebook ohne Facebook-App

Facebook verlangt von seinen mobilen Nutzern, das soziale Netzwerk und den Messenger einzeln als Apps zu installieren. Diese Apps kosten jedoch viel Akku und lesen viele Nutzerdaten aus. Wer eine Alternative sucht, die mehr Komfort bietet als die Browser-Version, kann sogenannte "Wrapper" einsetzen.

Mehr
Kinder und Jugendliche 

Schritt für Schritt: YouTube Kids einrichten (Android)

Die App YouTube Kids filtert Inhalte und bietet Eltern verschiedene Kontrollmöglichkeiten. In dieser Anleitung erfahren Sie Schritt für Schritt, wie sie die kinderfreundliche Version der YouTube-App sinnvoll einstellen.

Mehr
Betrug und Phishing 

So erkennen Sie gefälschte Apps

Nicht immer steckt in einer App das drin, was drauf steht. Gerade von bekannten Apps wie Facebook, Youtube oder WhatsApp sind auch Fälschungen im Umlauf. Nutzer können durch solche Fälschungen um Geld betrogen werden oder sich Schadprogramme zuziehen.

Mehr
App-Test 

Heimweg-App WayGuard kurz vorgestellt

WayGuard bietet einen 24-Stunden-Begleitservice für den Heimweg und beschäftigt dazu ein eigenes Team. Hinter der kostenlosen App steht der Versicherungskonzern AXA. Die App ist einfach zu bedienen, bindet aber auch Facebook- und Google-Dienste ein.

Mehr