App-Test

Viber: Telefonie- und Messenger-App

Ein Artikel von , veröffentlicht am 20.04.2017
Bild: CC0 Pixabay / geralt

Viber ist ein kostenloser Messenger mit Anruf-Funktion. Die App wird für die meisten Desktop-Systeme und Smartphones angeboten. Unser Test auf Android zeigt: Es werden viele sensible Informationen übermittelt – auch von unbeteiligten Dritten.

Was ist Viber?

Neben dem Austausch von Nachrichten kann man mit Viber auch Festnetznummern, Mobilnummern oder andere Viber-Nutzer über das Internet anrufen (IP-Telefonie). Die Kommunikation mit anderen Viber-Nutzern ist kostenfrei – ausgehende Anrufe zu Personen, die nicht Viber nutzen, sind kostenpflichtig.

Viber läuft sowohl auf dem Desktop, als auch auf dem Smartphone. Anbieter der App ist die Viber Media S.à r.l. mit Hauptsitz in Luxemburg. Im Frühjahr 2014 wurde Viber vom japanischen Unternehmen Rakuten übernommen. Nach eigenen Angaben nutzen aktuell rund 200 Millionen Menschen in 193 Ländern den Dienst Viber. (Stand April 2017).

Unser Test im Überblick

Bei der Installation von Viber verlangt die App Zugriff auf verschiedene Berechtigungen, die nicht zwangsläufig für den Austausch von Nachrichten oder zum Telefonieren notwendig sind. Als Nutzer-ID wird die Handynummer verwendet, über die man sich vor der Anmeldung identifizieren muss. Nach dem Start der App verbindet sie sich zu den Servern von Viber, aber auch zu Drittanbietern wie Facebook und diversen Tracking-Diensten.

Ausgetauschte Nachrichten werden unverschlüsselt auf dem Smartphone abgelegt. Viber informiert in seiner Datenschutzerklärung über die Erfassung, Verwendung und Weitergabe von übermittelten Daten – nennt allerdings nicht alle Drittanbieter. Insgesamt erfasst die Viber Media S.à r.l. viele sensible Informationen der Nutzer und ihren gespeicherten Kontakten.

Die wichtigsten übermittelten Informationen

  • Adressbuch
  • Geräte-Modell und Hersteller
  • Detaillierte Angabe über die Android Version (inkl. Build-Name)
  • Eingestellte Sprache und Länderkennung
  • Android Werbe-ID
  • Eindeutige Android Geräte-ID
  • Universally Unique Identifier (UUID)
  • Eigene Telefonnummer
  • Mobilfunkanbieter und Provider-Netz
  • MAC-Adresse der WiFi-Schnittstelle
  • IMEI- und IMSI-Nummer
  • Abfrage nach Verfügbarkeit von Google Play-Diensten, NFC-Chip, Bluetooth

Unsere Testergebnisse im Detail

Getestet haben wir die Viber-Version 6.7.0 aus dem Play-Store, mit der Android-Version 6.0.1. Dieser Test gibt keine Auskunft über abweichende Versionen.

Ausführliche Informationen dazu, wie unsere App-Rezensionen aufgebaut sind, welche Tests wir durchführen und was wir damit erreichen wollen, finden Sie im Hintergrundtext Was untersuchen wir in App-Rezensionen?

Auf welche Daten kann die App zugreifen?

Für eine Messenger-App mit Anruf-Funktion sind nicht alle angeforderten Berechtigungen notwendig. So ließe sich die Funktionalität auch ohne Berechtigungen wie „Geräte- & App-Verlauf“ oder „Standort“ realisieren.

Viber ist zwar mit Android 6 kompatibel, wurde allerdings noch nicht optimal angepasst. Die App fordert daher noch alle Zugriffsrechte bei der Installation ein, und nicht, wie bei Android 6.0 vorgesehen, erst bei Bedarf über ein Hinweisfenster an. Über „Einstellungen → Apps → Viber → Berechtigungen“ lassen sich einige Berechtigungen verwalten. Die App funktionierte in unserem Test nicht ohne Zugriff auf das Adressbuch. Standardmäßig erhält die App zunächst Zugriff auf die folgenden Ressourcen (Tippen Sie auf die Links, um zu erfahren, was die einzelnen Berechtigungen bedeuten):

Kamera

Kontakte

Mikrofon

SMS

Speicher/Medien

Standort

Telefon

Sonstige

Wir empfehlen, die Berechtigungen so weit möglich einzuschränken.

Wie Sie App-Berechtigungen einschränken, erklären wir im Beitrag App-Berechtigungen anzeigen und verwalten (Android 6.0).

Wohin verbindet sich die App?

Viber: Zur Diensterbringung werden diverse Verbindungen zu den Servern der Viber Media S.à r.l. aufgebaut. Die Kommunikation wird mit TLS verschlüsselt, auf eine zusätzliche Absicherung über Certificate Pinning verzichten die Hersteller. Die anschließende Kommunikation zwischen Viber-Nutzern erfolgt Ende-zu-Ende verschlüsselt über Amazon-Server. Unter anderem werden folgende Informationen übermittelt:

Was TLS bedeutet, und wie Certificate Pinning mehr Sicherheit bringt, erklären wir im Beitrag TLS/SSL: Fragen und Antworten.

Amazon: Die Kommunikation zwischen den Nutzern erfolgt über Amazon-Server. Aufgrund der verteilten Infrastruktur von Amazon bleibt unklar, in welchem Land die Speicherung und Verarbeitung erfolgt.

Facebook: Direkt nach dem Start nimmt die App Verbindung zu Facebook auf. Nutzer können ihr bestehendes Facebook-Konto mit Viber verknüpfen, um Angaben wie Name oder Profilbild zu übernehmen. Eine Verbindung zu Facebook wird jedes mal aufgebaut – auch wenn der Nutzer kein Facebook-Konto hat oder die Anmeldemöglichkeit nicht nutzen möchte.

Twitter / Facebook: Wenn Sie Ihren Facebook- oder Twitter-Account mit Viber verknüpfen, gewähren Sie der App laut der Datenschutzerklärung „den ununterbrochenen Zugang zu den persönlichen Daten“. Dazu zählen unter anderem:

  • Das öffentliche Profil
  • Freundeslisten
  • Konten, denen ein Nutzer folgt oder die ihm folgen
  • E-Mail-Adresse
  • Geburtstag
  • Berufsgeschichte
  • Ausbildungsgeschichte
  • Interessen
  • aktueller Wohnort
  • Video Viewing

Google: Unmittelbar nach dem Start werden Verbindungen zu unterschiedlichen Google-Adressen aufgebaut. Über diesen Kanal erhält Google die Rückmeldung, dass der Nutzer die Viber-App gestartet hat. Unter anderem werden Informationen zum Google-Konto übermittelt, darunter die E-Mail-Adresse und die Versionsnummer der Google-Play-Dienste.

Analyse / Tracker: Direkt nach dem Start der App werden Verbindungen zu den Analyse-Plattformen Mixpanel, adjust und dem Crash-Analyse-Dienst Crashlytics aufgebaut. Die integrierten Analyse- und Tracking-Bibliotheken verfolgen die Aktionen des Nutzers innerhalb der App. Unter anderem werden diese Informationen übertragen:

Wie sicher speichert die App meine Daten?

Viber wirbt mit einer Ende-zu-Ende Verschlüsselung von Telefongesprächen und verschickten Nachrichten. Dabei werden die Nachrichten vor dem Versenden lokal auf dem Gerät verschlüsselt und erst beim Empfänger wieder entschlüsselt.

Trotz dieser Sicherheitsmaßnahme werden alle Nachrichten unverschlüsselt auf dem Gerät abgelegt. Jemand mit Zugang zum Gerät könnte alle empfangenen und versendeten Nachrichten einsehen, falls das Gerät nicht verschlüsselt ist.

Wie Sie Ihr Android-Gerät ganz einfach verschlüsseln können, erklären wir im Beitrag Android Verschlüsseln.

Was sagt die Datenschutzerklärung?

Die im Google Play-Store verlinkte Datenschutzerklärung verweist auf die Webseite der Viber Media S.à r.l. Innerhalb der App ist die Datenschutzerklärung über „Einstellungen → Datenschutz → Privacy Policy“ erreichbar.

Die Viber Media S.à r.l. begründet die umfangreiche Sammlung von Nutzerdaten mit der Bereitstellung, Optimierung und Verbesserung seiner Dienstleistung. Kritisch ist die Erfassung des Adressbuchs, da Daten von Kontakten übermittelt werden, die Viber womöglich nicht nutzen. So landen Daten von Dritten auf den Servern der Viber Media S.à r.l., die den Dienst möglicherweise gar nicht nutzen, und die Geschäftsbedingungen nie akzeptiert haben. Es ist derzeit noch nicht geklärt, inwiefern dieses Vorgehen rechtswidrig ist.

Insgesamt informiert die Viber Media S.à r.l. transparent über die Erfassung, Verwendung und Weitergabe der übermittelten Daten und Informationen. Drittanbieter wie Mixpanel oder adjust werden allerdings nicht explizit genannt.

Werden nur notwendige Daten erhoben?

Das Prinzip der Datensparsamkeit wird nicht umgesetzt. Es ist nachvollziehbar, wenn für die Diensterbringung Informationen wie zum Beispiel die Telefonnummer oder ein Benutzername erhoben werden. Weniger verständlich ist die Erfassung von Informationen, wie eindeutige Identifizierungsmerkmale (Seriennummer des Geräts, IMEI- /IMSI-Nummer, WLAN MAC-Adresse) und die Übermittlung des kompletten Adressbuchs.

Die Einbindung externer Tracking-Dienstleister wie adjust oder auch die Anbindung an Facebook sind hinsichtlich der Datensparsamkeit ebenfalls problematisch. Denn an solche Dienste werden auch immer die Nutzungsdaten übertragen.

Weitere Artikel

Messenger 

„Der Messenger funktioniert auf Wunsch komplett anonym“

Würden Sie in Ihrer Wohnung eine Kamera aufstellen, die angezapft werden kann? Falls nicht, sollten Sie sich auch von unsicheren Messengern trennen, sagt Roman Flepp. Er arbeitet für die Schweizer Threema GmbH, die seit 2012 privatsphärefreundliche Chat-Apps für Android und iOS entwickelt.

Mehr
Kinder und Jugendliche 

Jugendschutzfilter JusProg: Nützlich, aber nicht perfekt

Ihr Kind ist alt genug für ein eigenes Mobilgerät? Dann stehen Sie vermutlich wie tausende andere Eltern vor der Frage, wie Sie es vor Pornografie, Gewalt, Hass im Internet schützen können. Ein Teil der Lösung kann ein Inhaltefilter sein. Ein brauchbares, aber wenig bekanntes Produkt ist JusProg.

Mehr
Kinder und Jugendliche 

Musical.ly: Unheimliche Parallelwelt im Kinderzimmer

Das soziale Netzwerk musical.ly beflügelt bei Kindern und Jugendlichen den Traum, selbst ein Popstar zu sein. Aber ist die Plattform zum Teilen selbstgedrehter Musikvideos harmlos? Ein Leserinnenhinweis führte uns in eine erschreckende Welt voll offener sexueller Nötigung von Mädchen.

Mehr
Ratgeber 

Clickjacking: Der Trick mit dem überdeckten Bildschirm (Android)

Sicherheitsexperten warnen vor dieser Weiterentwicklung des Phishing-Angriffs: Die Schadsoftware legt dabei ein eigenes Fenster über die Anzeige einer legitimen App und greift damit Login-Daten ab. Auch Banking-Apps sind betroffen. Wir erklären, wie es funktioniert und wie Sie sich schützen können.

Mehr