App-Test

Viber: Telefonie- und Messenger-App

Ein Artikel von , veröffentlicht am 20.04.2017
Bild: CC0 Pixabay / geralt

Viber ist ein kostenloser Messenger mit Anruf-Funktion. Die App wird für die meisten Desktop-Systeme und Smartphones angeboten. Unser Test auf Android zeigt: Es werden viele sensible Informationen übermittelt – auch von unbeteiligten Dritten.

HINWEIS: Manuell durchgeführte App-Analysen wie diese gelten grundsätzlich nur für die getestete App-Version und haben damit den Charakter einer Momentaufnahme. Aktuelle Testberichte für mehr als 30.000 Android-Apps finden Sie seit Oktober 2020 über unseren AppChecker.

Was ist Viber?

Neben dem Austausch von Nachrichten kann man mit Viber auch Festnetznummern, Mobilnummern oder andere Viber-Nutzer über das Internet anrufen (IP-Telefonie). Die Kommunikation mit anderen Viber-Nutzern ist kostenfrei – ausgehende Anrufe zu Personen, die nicht Viber nutzen, sind kostenpflichtig.

Viber läuft sowohl auf dem Desktop, als auch auf dem Smartphone. Anbieter der App ist die Viber Media S.à r.l. mit Hauptsitz in Luxemburg. Im Frühjahr 2014 wurde Viber vom japanischen Unternehmen Rakuten übernommen. Nach eigenen Angaben nutzen aktuell rund 200 Millionen Menschen in 193 Ländern den Dienst Viber. (Stand April 2017).

Unser Test im Überblick

Bei der Installation von Viber verlangt die App Zugriff auf verschiedene Berechtigungen, die nicht zwangsläufig für den Austausch von Nachrichten oder zum Telefonieren notwendig sind. Als Nutzer-ID wird die Handynummer verwendet, über die man sich vor der Anmeldung identifizieren muss. Nach dem Start der App verbindet sie sich zu den Servern von Viber, aber auch zu Drittanbietern wie Facebook und diversen Tracking-Diensten.

Ausgetauschte Nachrichten werden unverschlüsselt auf dem Smartphone abgelegt. Viber informiert in seiner Datenschutzerklärung über die Erfassung, Verwendung und Weitergabe von übermittelten Daten – nennt allerdings nicht alle Drittanbieter. Insgesamt erfasst die Viber Media S.à r.l. viele sensible Informationen der Nutzer und ihren gespeicherten Kontakten.

Die wichtigsten übermittelten Informationen

  • Adressbuch
  • Geräte-Modell und Hersteller
  • Detaillierte Angabe über die Android Version (inkl. Build-Name)
  • Eingestellte Sprache und Länderkennung
  • Android Werbe-ID
  • Eindeutige Android Geräte-ID
  • Universally Unique Identifier (UUID)
  • Eigene Telefonnummer
  • Mobilfunkanbieter und Provider-Netz
  • MAC-Adresse der WiFi-Schnittstelle
  • IMEI- und IMSI-Nummer
  • Abfrage nach Verfügbarkeit von Google Play-Diensten, NFC-Chip, Bluetooth

Unsere Testergebnisse im Detail

Getestet haben wir die Viber-Version 6.7.0 aus dem Play-Store, mit der Android-Version 6.0.1. Dieser Test gibt keine Auskunft über abweichende Versionen.

Ausführliche Informationen dazu, wie unsere App-Rezensionen aufgebaut sind, welche Tests wir durchführen und was wir damit erreichen wollen, finden Sie im Hintergrundtext Was untersuchen wir in App-Rezensionen?

Auf welche Daten kann die App zugreifen?

Für eine Messenger-App mit Anruf-Funktion sind nicht alle angeforderten Berechtigungen notwendig. So ließe sich die Funktionalität auch ohne Berechtigungen wie „Geräte- & App-Verlauf“ oder „Standort“ realisieren.

Viber ist zwar mit Android 6 kompatibel, wurde allerdings noch nicht optimal angepasst. Die App fordert daher noch alle Zugriffsrechte bei der Installation ein, und nicht, wie bei Android 6.0 vorgesehen, erst bei Bedarf über ein Hinweisfenster an. Über „Einstellungen → Apps → Viber → Berechtigungen“ lassen sich einige Berechtigungen verwalten. Die App funktionierte in unserem Test nicht ohne Zugriff auf das Adressbuch. Standardmäßig erhält die App zunächst Zugriff auf die folgenden Ressourcen (Tippen Sie auf die Links, um zu erfahren, was die einzelnen Berechtigungen bedeuten):

Kamera

Kontakte

Mikrofon

SMS

Speicher/Medien

Standort

Telefon

Sonstige

Wir empfehlen, die Berechtigungen so weit möglich einzuschränken.

Wie Sie App-Berechtigungen einschränken, erklären wir im Beitrag App-Berechtigungen anzeigen und verwalten (Android 6.0).

Wohin verbindet sich die App?

Viber: Zur Diensterbringung werden diverse Verbindungen zu den Servern der Viber Media S.à r.l. aufgebaut. Die Kommunikation wird mit TLS verschlüsselt, auf eine zusätzliche Absicherung über Certificate Pinning verzichten die Hersteller. Die anschließende Kommunikation zwischen Viber-Nutzern erfolgt Ende-zu-Ende verschlüsselt über Amazon-Server. Unter anderem werden folgende Informationen übermittelt:

Was TLS bedeutet, und wie Certificate Pinning mehr Sicherheit bringt, erklären wir im Beitrag TLS/SSL: Fragen und Antworten.

Amazon: Die Kommunikation zwischen den Nutzern erfolgt über Amazon-Server. Aufgrund der verteilten Infrastruktur von Amazon bleibt unklar, in welchem Land die Speicherung und Verarbeitung erfolgt.

Facebook: Direkt nach dem Start nimmt die App Verbindung zu Facebook auf. Nutzer können ihr bestehendes Facebook-Konto mit Viber verknüpfen, um Angaben wie Name oder Profilbild zu übernehmen. Eine Verbindung zu Facebook wird jedes mal aufgebaut – auch wenn der Nutzer kein Facebook-Konto hat oder die Anmeldemöglichkeit nicht nutzen möchte.

Twitter / Facebook: Wenn Sie Ihren Facebook- oder Twitter-Account mit Viber verknüpfen, gewähren Sie der App laut der Datenschutzerklärung „den ununterbrochenen Zugang zu den persönlichen Daten“. Dazu zählen unter anderem:

  • Das öffentliche Profil
  • Freundeslisten
  • Konten, denen ein Nutzer folgt oder die ihm folgen
  • E-Mail-Adresse
  • Geburtstag
  • Berufsgeschichte
  • Ausbildungsgeschichte
  • Interessen
  • aktueller Wohnort
  • Video Viewing

Google: Unmittelbar nach dem Start werden Verbindungen zu unterschiedlichen Google-Adressen aufgebaut. Über diesen Kanal erhält Google die Rückmeldung, dass der Nutzer die Viber-App gestartet hat. Unter anderem werden Informationen zum Google-Konto übermittelt, darunter die E-Mail-Adresse und die Versionsnummer der Google-Play-Dienste.

Analyse / Tracker: Direkt nach dem Start der App werden Verbindungen zu den Analyse-Plattformen Mixpanel, adjust und dem Crash-Analyse-Dienst Crashlytics aufgebaut. Die integrierten Analyse- und Tracking-Bibliotheken verfolgen die Aktionen des Nutzers innerhalb der App. Unter anderem werden diese Informationen übertragen:

Wie sicher speichert die App meine Daten?

Viber wirbt mit einer Ende-zu-Ende Verschlüsselung von Telefongesprächen und verschickten Nachrichten. Dabei werden die Nachrichten vor dem Versenden lokal auf dem Gerät verschlüsselt und erst beim Empfänger wieder entschlüsselt.

Trotz dieser Sicherheitsmaßnahme werden alle Nachrichten unverschlüsselt auf dem Gerät abgelegt. Jemand mit Zugang zum Gerät könnte alle empfangenen und versendeten Nachrichten einsehen, falls das Gerät nicht verschlüsselt ist.

Wie Sie Ihr Android-Gerät ganz einfach verschlüsseln können, erklären wir im Beitrag Android Verschlüsseln.

Was sagt die Datenschutzerklärung?

Die im Google Play-Store verlinkte Datenschutzerklärung verweist auf die Webseite der Viber Media S.à r.l. Innerhalb der App ist die Datenschutzerklärung über „Einstellungen → Datenschutz → Privacy Policy“ erreichbar.

Die Viber Media S.à r.l. begründet die umfangreiche Sammlung von Nutzerdaten mit der Bereitstellung, Optimierung und Verbesserung seiner Dienstleistung. Kritisch ist die Erfassung des Adressbuchs, da Daten von Kontakten übermittelt werden, die Viber womöglich nicht nutzen. So landen Daten von Dritten auf den Servern der Viber Media S.à r.l., die den Dienst möglicherweise gar nicht nutzen, und die Geschäftsbedingungen nie akzeptiert haben. Es ist derzeit noch nicht geklärt, inwiefern dieses Vorgehen rechtswidrig ist.

Insgesamt informiert die Viber Media S.à r.l. transparent über die Erfassung, Verwendung und Weitergabe der übermittelten Daten und Informationen. Drittanbieter wie Mixpanel oder adjust werden allerdings nicht explizit genannt.

Werden nur notwendige Daten erhoben?

Das Prinzip der Datensparsamkeit wird nicht umgesetzt. Es ist nachvollziehbar, wenn für die Diensterbringung Informationen wie zum Beispiel die Telefonnummer oder ein Benutzername erhoben werden. Weniger verständlich ist die Erfassung von Informationen, wie eindeutige Identifizierungsmerkmale (Seriennummer des Geräts, IMEI- /IMSI-Nummer, WLAN MAC-Adresse) und die Übermittlung des kompletten Adressbuchs.

Die Einbindung externer Tracking-Dienstleister wie adjust oder auch die Anbindung an Facebook sind hinsichtlich der Datensparsamkeit ebenfalls problematisch. Denn an solche Dienste werden auch immer die Nutzungsdaten übertragen.

Weitere Artikel

Ratgeber 

Chrome Inkognito-Modus: Privat, aber nicht anonym

Der sogenannte Inkognito-Modus von Googles Chrome-Browser ist hilfreich, wenn man zum Beispiel ein Gerät mit anderen gemeinsam nutzt. Denn in diesem Modus speichert der Browser keine Daten über das eigene Surfverhalten. Aber Achtung: Gegenüber den Webseiten und dem Internetanbieter ist man damit nicht anonym.

Mehr
YouTube-Video 

Apps gecheckt: Liefer-Apps (Android)

Lieferando, Wolt, Gorillas, Flink – Liefer-Apps sind das große Ding der Stunde. Dass Sie den Apps beim Bestellen sagen, wo Sie gerade sind und wo Sie wohnen, ist dabei ganz normal. Und dann? Wir haben die Apps von innen angeschaut.

Ansehen
Ratgeber 

Messenger-App Delta.Chat kurz vorgestellt

Anders als WhatsApp und Co. schickt der Messenger Delta.Chat Nachrichten nicht über eigene Server, sondern nutzt die Infrastruktur bestehender E-Mail-Adressen. Der Dienst ist damit dezentral - für Nutzer*innen hat das Vorteile.

Mehr
Ratgeber 

Apps gecheckt: Wenn Dritte mitlesen, was du shoppst (Android)

Shopping-Apps erfassen häufig den Standort, eindeutige Geräte-IDs und sämtliche Suchbegriffe. Wohin versenden sie diese Informationen? Wir haben die Apps großer deutscher Baumärkte und die IKEA-App geprüft.

Mehr