Viber: Telefonie- und Messenger-App

viber

Viber ist ein kostenloser Messenger mit Anruf-Funktion. Die App wird für die meisten Desktop-Systeme und Smartphones angeboten. Unser Test auf Android zeigt: Es werden viele sensible Informationen übermittelt – auch von unbeteiligten Dritten.

Version
6.7.0
Betriebssystem
Android
App-Store- / Weblinks
Apple App Store (iOS)
Google Play (Android)
F-Droid (Android-Alternative)
Weblink
Veröffentlicht am
Review Autor
Drucken

Auf einen Blick

Was ist Viber?

Neben dem Austausch von Nachrichten kann man mit Viber auch Festnetznummern, Mobilnummern oder andere Viber-Nutzer über das Internet anrufen (IP-Telefonie). Die Kommunikation mit anderen Viber-Nutzern ist kostenfrei – ausgehende Anrufe zu Personen, die nicht Viber nutzen, sind kostenpflichtig.

Viber läuft sowohl auf dem Desktop, als auch auf dem Smartphone. Anbieter der App ist die Viber Media S.à r.l. mit Hauptsitz in Luxemburg. Im Frühjahr 2014 wurde Viber vom japanischen Unternehmen Rakuten übernommen. Nach eigenen Angaben nutzen aktuell rund 200 Millionen Menschen in 193 Ländern den Dienst Viber. (Stand April 2017).

Unser Test im Überblick

Bei der Installation von Viber verlangt die App Zugriff auf verschiedene Berechtigungen, die nicht zwangsläufig für den Austausch von Nachrichten oder zum Telefonieren notwendig sind. Als Nutzer-ID wird die Handynummer verwendet, über die man sich vor der Anmeldung identifizieren muss. Nach dem Start der App verbindet sie sich zu den Servern von Viber, aber auch zu Drittanbietern wie Facebook und diversen Tracking-Diensten.

Ausgetauschte Nachrichten werden unverschlüsselt auf dem Smartphone abgelegt. Viber informiert in seiner Datenschutzerklärung über die Erfassung, Verwendung und Weitergabe von übermittelten Daten – nennt allerdings nicht alle Drittanbieter. Insgesamt erfasst die Viber Media S.à r.l. viele sensible Informationen der Nutzer und ihren gespeicherten Kontakten.

Die wichtigsten übermittelten Informationen

  • Adressbuch
  • Geräte-Modell und Hersteller
  • Detaillierte Angabe über die Android Version (inkl. Build-Name)
  • Eingestellte Sprache und Länderkennung
  • Android Werbe-ID
  • Eindeutige Android Geräte-ID
  • Universally Unique Identifier (UUID)
  • Eigene Telefonnummer
  • Mobilfunkanbieter und Provider-Netz
  • MAC-Adresse der WiFi-Schnittstelle
  • IMEI- und IMSI-Nummer
  • Abfrage nach Verfügbarkeit von Google Play-Diensten, NFC-Chip, Bluetooth

Unsere Testergebnisse im Detail

Getestet haben wir die Viber-Version 6.7.0 aus dem Play-Store, mit der Android-Version 6.0.1. Dieser Test gibt keine Auskunft über abweichende Versionen.

Auf welche Daten kann die App zugreifen?

Für eine Messenger-App mit Anruf-Funktion sind nicht alle angeforderten Berechtigungen notwendig. So ließe sich die Funktionalität auch ohne Berechtigungen wie „Geräte- & App-Verlauf“ oder „Standort“ realisieren.

Viber ist zwar mit Android 6 kompatibel, wurde allerdings noch nicht optimal angepasst. Die App fordert daher noch alle Zugriffsrechte bei der Installation ein, und nicht, wie bei Android 6.0 vorgesehen, erst bei Bedarf über ein Hinweisfenster an. Über „Einstellungen → Apps → Viber → Berechtigungen“ lassen sich einige Berechtigungen verwalten. Die App funktionierte in unserem Test nicht ohne Zugriff auf das Adressbuch. Standardmäßig erhält die App zunächst Zugriff auf die folgenden Ressourcen (Tippen Sie auf die Links, um zu erfahren, was die einzelnen Berechtigungen bedeuten):

Kamera

Kontakte

Mikrofon

SMS

Speicher/Medien

Standort

Telefon

Sonstige

Wir empfehlen, die Berechtigungen so weit möglich einzuschränken.

Wohin verbindet sich die App?

Viber: Zur Diensterbringung werden diverse Verbindungen zu den Servern der Viber Media S.à r.l. aufgebaut. Die Kommunikation wird mit TLS verschlüsselt, auf eine zusätzliche Absicherung über Certificate Pinning verzichten die Hersteller. Die anschließende Kommunikation zwischen Viber-Nutzern erfolgt Ende-zu-Ende verschlüsselt über Amazon-Server. Unter anderem werden folgende Informationen übermittelt:

Amazon: Die Kommunikation zwischen den Nutzern erfolgt über Amazon-Server. Aufgrund der verteilten Infrastruktur von Amazon bleibt unklar, in welchem Land die Speicherung und Verarbeitung erfolgt.

Facebook: Direkt nach dem Start nimmt die App Verbindung zu Facebook auf. Nutzer können ihr bestehendes Facebook-Konto mit Viber verknüpfen, um Angaben wie Name oder Profilbild zu übernehmen. Eine Verbindung zu Facebook wird jedes mal aufgebaut – auch wenn der Nutzer kein Facebook-Konto hat oder die Anmeldemöglichkeit nicht nutzen möchte.

Twitter / Facebook: Wenn Sie Ihren Facebook- oder Twitter-Account mit Viber verknüpfen, gewähren Sie der App laut der Datenschutzerklärung „den ununterbrochenen Zugang zu den persönlichen Daten“. Dazu zählen unter anderem:

  • Das öffentliche Profil
  • Freundeslisten
  • Konten, denen ein Nutzer folgt oder die ihm folgen
  • E-Mail-Adresse
  • Geburtstag
  • Berufsgeschichte
  • Ausbildungsgeschichte
  • Interessen
  • aktueller Wohnort
  • Video Viewing

Google: Unmittelbar nach dem Start werden Verbindungen zu unterschiedlichen Google-Adressen aufgebaut. Über diesen Kanal erhält Google die Rückmeldung, dass der Nutzer die Viber-App gestartet hat. Unter anderem werden Informationen zum Google-Konto übermittelt, darunter die E-Mail-Adresse und die Versionsnummer der Google-Play-Dienste.

Analyse / Tracker: Direkt nach dem Start der App werden Verbindungen zu den Analyse-Plattformen Mixpanel, adjust und dem Crash-Analyse-Dienst Crashlytics aufgebaut. Die integrierten Analyse- und Tracking-Bibliotheken verfolgen die Aktionen des Nutzers innerhalb der App. Unter anderem werden diese Informationen übertragen:

Wie sicher speichert die App meine Daten?

Viber wirbt mit einer Ende-zu-Ende Verschlüsselung von Telefongesprächen und verschickten Nachrichten. Dabei werden die Nachrichten vor dem Versenden lokal auf dem Gerät verschlüsselt und erst beim Empfänger wieder entschlüsselt.

Trotz dieser Sicherheitsmaßnahme werden alle Nachrichten unverschlüsselt auf dem Gerät abgelegt. Jemand mit Zugang zum Gerät könnte alle empfangenen und versendeten Nachrichten einsehen, falls das Gerät nicht verschlüsselt ist.

Was sagt die Datenschutzerklärung?

Die im Google Play-Store verlinkte Datenschutzerklärung verweist auf die Webseite der Viber Media S.à r.l. Innerhalb der App ist die Datenschutzerklärung über „Einstellungen → Datenschutz → Privacy Policy“ erreichbar.

Die Viber Media S.à r.l. begründet die umfangreiche Sammlung von Nutzerdaten mit der Bereitstellung, Optimierung und Verbesserung seiner Dienstleistung.
Kritisch ist die Erfassung des Adressbuchs, da Daten von Kontakten übermittelt werden, die Viber womöglich nicht nutzen. So landen Daten von Dritten auf den Servern der Viber Media S.à r.l., die den Dienst möglicherweise gar nicht nutzen, und die Geschäftsbedingungen nie akzeptiert haben. Es ist derzeit noch nicht geklärt, inwiefern dieses Vorgehen rechtswidrig ist.

Insgesamt informiert die Viber Media S.à r.l. transparent über die Erfassung, Verwendung und Weitergabe der übermittelten Daten und Informationen. Drittanbieter wie Mixpanel oder adjust werden allerdings nicht explizit genannt.

Werden nur notwendige Daten erhoben?

Das Prinzip der Datensparsamkeit wird nicht umgesetzt. Es ist nachvollziehbar, wenn für die Diensterbringung Informationen wie zum Beispiel die Telefonnummer oder ein Benutzername erhoben werden. Weniger verständlich ist die Erfassung von Informationen, wie eindeutige Identifizierungsmerkmale (Seriennummer des Geräts, IMEI- /IMSI-Nummer, WLAN MAC-Adresse) und die Übermittlung des kompletten Adressbuchs.

Die Einbindung externer Tracking-Dienstleister wie adjust oder auch die Anbindung an Facebook sind hinsichtlich der Datensparsamkeit ebenfalls problematisch. Denn an solche Dienste werden auch immer die Nutzungsdaten übertragen.

Unser Tipp

Sie können die Übermittlung von sensiblen Daten zumindest minimieren:

  • Über „Einstellungen → Datenschutz“ lässt sich innerhalb der App die Option „Analysedaten sammeln“ deaktivieren. Dann werden keine Analysedaten mehr an Viber übertragen. Der Datenfluss an die anderen Dienste ist dadurch nicht beeinflussbar.
  • Eine bestehende Verknüpfung zu einem Facebook- oder Twitter-Konto sollte rückgängig gemacht werden
  • Ab Android 6.x kann der Zugriff auf Berechtigungen über „System-Einstellungen → Apps → Viber → Berechtigungen“ reglementiert werden

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!