Viber アプリ

無料通話出来る画期的なアプリ「Viber」のiPhone版に次いでAndroid版もリリースされたので、viberについて色々。

「Viber」は、アプリをインストールしたiPhone、またはAndroid間で無料で電話とテキストメッセージ(SMS)が送受信できる人気のアプリ。
3G回線とWI-FI双方で利用可能で初期設定さえ一度してしまえば、ログイン不要で無料で電話やテキストチャットができてしまう画期的アプリ。

skypeより使いやすいと評判だったが。。。
今回の記事は”Viberって何?まとめてみた”から転載しています

記事全文を載せてますので興味のある方は見てください。

 

——————————————————————————-

無料(タダ)より怖いものはない、とはよく言ったものだ。
まさにこのアプリケーションがその意味をしっかりと教えてくれている。

Viberとは要するにだ、

私たちが自ら望んで個人情報を提供したくなるような画期的なサービス
であると言っていいだろう。
規約を承認した時点で、我々の本来の意志とは反し、
お得にアプリケーションを利用できるどころか、
Viberに便利に利用(悪用)されてしまう恐れが多分にある。
つまりは、個人情報が面白いほどに筒抜けになり、我々個人が一元的に管理される体制がより一層整う、というのがオチなのだ。
世の中、必ず物事は等価交換で成り立っている。
何かを頂くには、こちらも何かをお礼をするのが世の常である。

「世界中に24時間無料通話ができる」という恩恵を享受する代わりに、
私たちはとんでもないものを相手にお礼として差し出していることに
早急に気づかなければならない。

まずはこちらをご覧頂きたい。
【Linux/CGP作業メモ】様、「Viberが送信する情報のメモ【12/26追記】」より引用。
http://blog.isnext.net/issy/archives/571
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■Viberが送信する情報のメモ
 Viberが利用者のアドレス帳情報をサーバに送信して保管するということなので、具体的にどんな内容が送信されているのか、登録から全てパケットキャプチャして確認してみた。

暗号化されていたらわからないなと思っていたが、昨日の記事で電話番号が平文で送信されていたのでひょっとしたらと予想した通り、Viberは登録時にほぼ全ての情報をhttpで平文のまま流通させていた。せっかく素晴らしいソフトなのに残念なことだと思う。

【12/23追記】Viber社のCEO Talmon Marco氏があるブログの懸念に回答をしていたので最後部に追記。
 こちらの記事はガジェット通信に転載いただきました。

【12/26追記】Viber社のCEO Talmon Marco氏とやりとりして暗号化対応について確認しました。
 Viber 暗号化対応を示唆 CEOが表明
 http://blog.isnext.net/issy/archives/632

■キャプチャで判明したこと
・登録で通信するサーバはwa.viber.com
・NYのミッドタウンセンターにあるNetVision社のIP
・Webサーバはngnix Webアプリはphp
・User-Agent: Viber/1.0.95906 CFNetwork/485.12.7 Darwin/10.4.0
・登録時にクライアントから送信される項目
 RegisterUserRequest
 PhoneNumber
 PushToken
 CountryIDDCode
 UDID
 DeviceType
 SystemVersion
 ViberVersion
・アクティベートがOKになるとアドレス帳が送信される
 送信はTCP4244宛て平文
 送信先はAmazon EC2上にあるサーバ
 送信内容は連絡先アプリ内の登録情報全員分
 送信項目は 「姓、名、携帯番号、着信音設定値」
 他の入力項目は送信されていないように見える

 ※当初送信項目を「性、名、携帯番号、着信音設定値」としていましたが、漢字の変換ミスです。iPhoneの連絡先の登録項目には標準では性(性別)という項目はありません。

■所感
 3G接続を前提にしているとはいえ、せめてSSLは利用してもらいたいと思う。
アドレス帳を項目は限定されているとは言え、全てネット上に平文で送信するのはどうかと思う。たしかにアプリの設定時にアドレス帳へのアクセスは許可しているが、通常それはアプリケーションがローカルでアクセスすることを想定し、情報がネット上にアップロードされることを許可しているつもりまではないと思われる。

仕様上必須なのであれば「アドレス帳のデータをViberサーバにコピーするが構わないか?」という問いかけで許可を得るのが適切だと思う。Viberのサイト上のポリシーにはサーバ上にコピーする旨が明記されているが、アプリをダウンロードして設定するまでの間に、それに気付く機会がないのでは片手落ちだと思われる。Viber自体は非常に優れたアプリケーションだと思うので、告知内容の見直しや、登録時や架電時の通信内容の暗号化はぜひとも対応してもらいたい。

 Viberはユーザの意図しないところで、アドレス帳情報を外部送信していると見られても仕方ない状況だと感じる。

一般の人は個々の判断で Viberをどのように利用するか判断すればいいと思うが、少なくともアドレス帳に入っている友人知人の情報(一部)が、TRUSTe等の比較的信頼のある個人情報保護体制認定プログラムを取得していると明示されていない外国企業に流れていることは自覚しておく必要がある。

もしPマーク等の個人情報保護体制認定プログラムの適用事業者に勤務している場合には、業務上利用しているiPhoneにViberはインストールしてはいけない。アドレス帳に取引先や従業員情報が入っていた場合、法人としてViber社と適切な契約状況になければ情報漏えいに該当すると判断される可能性が否定できない。おそらくEU辺りからViber社はいろいろ突っ込みをもらうことになるのではないかと推測する。その改善後には安心して利用できるようになるかもしれないと思う。

Viber社
http://www.viber.com/
Viber社プライバシーポリシー
http://www.viber.com/privacypolicy.html

【12/23追記】
 Viberの情報の取扱いについて以下のblogが12/04に懸念を表明したところViber社のCEO Talmon Marco氏から12/10 16:02のコメントで回答があった。その一部に気になる発言があったのでメモしておく。

 Agmon Dot Com / Privacy 101 or Why You Should Not Use iPhone App Viber
 http://blog.agmon.com/2010/12/04/why-i-will-not-install-viber/

 アドレス帳を送信していることについては、アドレス帳でなく名前と電話番号のみだ
(we actually do not send the entire address book, we only send names and phone numbers)と回答している。

blogではアドレス帳の全ての詳細が送信されているとしている
(They now know practically every detail of your phone book.)ことからこの反論は妥当と思う。正確には着信音設定も送信されているのだが、プライバシー項目に相当しないという観点から述べられていない可能性がある。

電話番号と名前をセットで送信している理由としては、Push通知する時に電話番号だけではない方がいいと判断しているから(We send the names associated with the numbers because otherwise we won’t know what to write in the push notification and will have to send something like +12125551212 is calling you. Not good.)だそうだ。これはある程度理解できるが、だとすれば事前告知で適切に説明すべきと思う。
 個人情報が第3者に提供されることについては、パートナーと共有する可能性があること
(Yes, we may share information with partners in order to provide the service.)
を明確にしているが、例示としてSMS配送会社との共有を出しており
(For example, we share your phone number with an SMS delivery company in order to send you a text message.)、

規約を修正して明示する(I do believe that we can make this clause clearer. We will fix it.)としている。規約へのより適切な明示は歓迎すべきところではあるが、例示されたSMS配送会社への共有というのは、やや不安感を伴うものであり、 Viber社がどのような信頼性評価をするのかわからないが、今後SMS配送会社経由でSMSスパムが送信されてくるかもしれない懸念を感じざるを得ない。第3者提供の可否について個別のオプトアウトを可能にしてもらいたいと思う。
 通話記録を残していること(their privacy agreement states that they collect and log all your phone calls)については、特別な言及はなかった。ViberではP2Pでの通信が前提なのでiPhoneで3G回線同士で通話する限り通話内容を Viberサーバに残すことはできない。サーバに残るのはプライバシーポリシーにはViber ID, phone number, 端末識別コードUDIDとなっている(hese logs contain your internal Viber identification which is a combination of your account identification (i.e., your phone number) and Apple Unique Device Identification (“UDID”) or Android Device ID.)ので、通信事業者?としては妥当なものだと思われる。ただ保存目的や保存期間の明示がないのは残念だと思う。
 コメントの最後に、ポジティブなレビューと同じくらい製品とポリシーの改善に役立つから批評について歓迎する(Anyway, we welcome the critiques – they help us improve our product and our policies as much as we are happy about the positive reviews we get.)と書いてある。CEOが直接個人blogにコメント返信するなど、今ではあまり驚くことでもないかもしれないが、真摯に回答がされることはやはり素晴らしいと思う。
 一方、自分で記事を書いてやはり暗号化されてないことが非常に気になったので、12/18にViber社のサポートに暗号化のリクエストを出してみたのだが、受付された旨の表示にはなっているものの12/23現在全く進捗がない。

12/17に投稿されている別人からの暗号化通話のリクエストにも何も進展がないように見える。(なぜ自分のリクエスト投稿は公開されていないのか不明、カテゴリが違うのか?)年末が近くもしかしたら既にクリスマス休暇で稼働していない可能性もあるが、CEOの対応はなかなか興味深いのに、通常あるべきサポートのレスポンスが残念に見えてしまう。リクエストへのレスポンスがあったら、またこちらに追記していこうと思う。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

次にこちら。

【yebo blog】様、「なぜ、Viberを使うべきではないのか」より引用。
http://yebo-blog.blogspot.com/2010/12/viber.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
TechCrunchがベタ褒めしていた無料IP電話アプリViberは、プライバシー問題から使うべきはないという話。リアド・アグモン氏はブログにViber のプライバシー問題を書いている。

自動でViberを利用している友人を見付けるという過程で、アドレス帳全体をViberのサーバに送られていることを問題視しており、Viberが第三者にそのデータを渡す可能性があるとのことだ。ViberはP2Pのファイル共有ソフトウェアiMeshを作っていたイスラエル人らによって設立されている(奇妙な事に経営陣に関わるデータを見付けることができない)。彼らはiMeshにスパイウェアアプリをバンドルさせて稼いでいた。

ほとんどのイスラエルの会社はデラウェア州(米国で会社設立がしやすい)あるいはイスラエルで会社を設立するが、Viberはギャンブル運営のオフショアがやりやすいキプロスで会社が設立されている。従って、Viberを使ってアドレス帳や通話記録を奴らに渡すくらいなら、お金を払って通話した方がまだマシとのことだ。
ViberのCEOであるタルモン・マルコ (Talmon Marco)氏がコメントを寄せており、アドレス帳の送信については、名前と電話番号のみとのことで、プッシュ通知に電話番号だけでなく名前もあった方が良いという判断とのこと。

これらの個人情報が第三者に提供することについては、パートナーと共有する可能性がある、例えばSMS配送会社との共有を挙げている(SMSスパムの可能性は十分考えられる)。収益構造を明確にしてくれれば、通話が無料でも安心すると思うのだが。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

尚、アカウントを削除する場合について
【あたまの何かしら】様、「Viber (のアカウント) を消す場合。」より引用。
http://d.hatena.ne.jp/amatanoyo/20101204/1291450256
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
プライバシーポリシーに書いてあるけども。

1. “Viber Support”経由でViberに連絡し、自身のアカウントの削除を要望する。
2. 端末からViber Appを削除する。

ただし、後者の場合、個人情報はプライマリストレージから45日以内に自動的に削除されるとしているが、バックアップが12ヶ月間保持されるため、完全に消去してもらいのであれば前者の方法をとるべし。
* http://www.viber.com/privacypolicy.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━