体験を伝える―『ガジェット通信』の考え方

面白いものを探しにいこう 本物を体験し体感しよう 会いたい人に会いに行こう 見たことのないものを見に行こう そしてそれをやわらかくみんなに伝えよう [→ガジェ通についてもっと詳しく] [→ガジェット通信フロアについて]

Viberが送信する情報のメモ

Viberウェブサイト

今回はissyさんのブログ『Linux/CGP作業メモ』からご寄稿いただきました。

Viberが送信する情報のメモ
 Viberが利用者のアドレス帳情報をサーバに送信して保管するということなので、具体的にどんな内容が送信されているのか、登録から全てパケットキャプチャして確認してみた。暗号化されていたらわからないなと思っていたが、昨日の記事で電話番号が平文で送信されていたのでひょっとしたらと予想した通り、Viberは登録時にほぼ全ての情報をhttpで平文のまま流通させていた。せっかく素晴らしいソフトなのに残念なことだと思う。
【12/23追記】Viber社のCEO Talmon Marco氏があるブログの懸念に回答をしていたので最後部に追記。

キャプチャで判明したこと
・登録で通信するサーバはwa.viber.com
・NYのミッドタウンセンターにあるNetVision社のIP
・Webサーバはngnix Webアプリはphp
・User-Agent: Viber/1.0.95906 CFNetwork/485.12.7 Darwin/10.4.0
・登録時にクライアントから送信される項目
 RegisterUserRequest
 PhoneNumber
 PushToken
 CountryIDDCode
 UDID
 DeviceType
 SystemVersion
 ViberVersion
・アクティベートがOKになるとアドレス帳が送信される
 送信はTCP4244宛て平文
 送信先はAmazon EC2上にあるサーバ
 送信内容は連絡先アプリ内の登録情報全員分
 送信項目は 「姓、名、携帯番号、着信音設定値」
 他の入力項目は送信されていないように見える
 ※当初送信項目を「性、名、携帯番号、着信音設定値」としていましたが、漢字の変換ミスです。iPhoneの連絡先の登録項目には標準では性(性別)という項目はありません。

所感
 3G接続を前提にしているとはいえ、せめてSSLは利用してもらいたいと思う。アドレス帳を項目は限定されているとは言え、全てネット上に平文で送信するのはどうかと思う。たしかにアプリの設定時にアドレス帳へのアクセスは許可しているが、通常それはアプリケーションがローカルでアクセスすることを想定し、情報がネット上にアップロードされることを許可しているつもりまではないと思われる。仕様上必須なのであれば「アドレス帳のデータをViberサーバにコピーするが構わないか?」という問いかけで許可を得るのが適切だと思う。Viberのサイト上のポリシーにはサーバ上にコピーする旨が明記されているが、アプリをダウンロードして設定するまでの間に、それに気付く機会がないのでは片手落ちだと思われる。Viber自体は非常に優れたアプリケーションだと思うので、告知内容の見直しや、登録時や架電時の通信内容の暗号化はぜひとも対応してもらいたい。
 Viberはユーザの意図しないところで、アドレス帳情報を外部送信していると見られても仕方ない状況だと感じる。一般の人は個々の判断でViberをどのように利用するか判断すればいいと思うが、少なくともアドレス帳に入っている友人知人の情報(一部)が、TRUSTe等の比較的信頼のある個人情報保護体制認定プログラムを取得していると明示されていない外国企業に流れていることは自覚しておく必要がある。もしPマーク等の個人情報保護体制認定プログラムの適用事業者に勤務している場合には、業務上利用しているiPhoneにViberはインストールしてはいけない。アドレス帳に取引先や従業員情報が入っていた場合、法人としてViber社と適切な契約状況になければ情報漏えいに該当すると判断される可能性が否定できない。おそらくEU辺りからViber社はいろいろ突っ込みをもらうことになるのではないかと推測する。その改善後には安心して利用できるようになるかもしれないと思う。

Viber社
http://www.viber.com/
Viber社プライバシーポリシー
http://www.viber.com/privacypolicy.html

【12/23追記】
 Viberの情報の取扱いについて以下のblogが12/04に懸念を表明したところViber社のCEO Talmon Marco氏から12/10 16:02のコメントで回答があった。その一部に気になる発言があったのでメモしておく。

1 2次のページ
寄稿の記事一覧をみる

記者:

ガジェット通信はデジタルガジェット情報・ライフスタイル提案等を提供するウェブ媒体です。シリアスさを排除し、ジョークを交えながら肩の力を抜いて楽しんでいただけるやわらかニュースサイトを目指しています。 こちらのアカウントから記事の寄稿依頼をさせていただいております。

TwitterID: getnews_kiko

  • 誤字を発見した方はこちらからご連絡ください。
  • ガジェット通信編集部への情報提供はこちらから
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。
GetNews girl / GetNews boy

オスカー2018年晴れ着撮影会