Viber: на волне приватности?

По состоянию на март 2021 года, одним из десяти наиболее популярных мессенджеров в мире является Viber, насчитывающий около 260 миллионов пользователей каждый месяц. Он особенно распространен в России, Беларуси, Украине и других странах СНГ.

Сервис славится тематическими каналами, сообществами онлайн-покупок и множеством других полезных функций, среди которых можно выделить даже оплату коммунальных платежей. В сегодняшней статье рассмотрим, как мессенджер обеспечивает конфиденциальность пользовательских данных. 

Регистрация и авторизация

К отсутствию анонимной регистрации в мессенджерах мы уже вполне привыкли. Для создания учетной записи в Viber потребуется номер телефона, на который в SMS-сообщении придет код подтверждения. Кроме этого, потребуется ввести имя и дату рождения. Само собой, необязательно вводить настоящие данные, однако сбор такого количества персональной информации немного отталкивает. Сервис также опционально предлагает поделиться и адресом электронной почты. 

Авторизация в Viber происходит по номеру телефона и кода из отправленного на него SMS-сообщения. Функцией двухфакторной аутентификации мессенджер не обладает, как и опцией входа в приложение по PIN-коду или пользовательскому паролю. 

В целом впечатления по данному критерию неприятные, наша оценка: 2 из 10. 

Шифрование и безопасность чатов

Как и Telegram, в Viber доступно два вида чатов: обычные и скрытые. Основным их преимуществом является их отсутствие в общем списке чатов и доступ исключительно по заданному при их созданию PIN-коду. Без пароля о наличии на устройстве секретных переписок в Viber узнать невозможно.  

Как и многие другие мессенджеры, сервис предлагает сквозное шифрование чатов (включая обычные), голосовых и видеозвонков по умолчанию. Это отличная новость, но неудивительная, учитывая тренд на шифрование всего и вся. 

В Viber также доступна функцию исчезающих сообщений с таймером самоудаления через 10 секунд, минуту, час или день. Дополнительно конфиденциальность пользователей сервиса обеспечивается запретом на скриншоты (для Android, при скриншоте на iPhone собеседник получает соответствующее уведомление) и пересылку сообщений в секретных чатах. 

Ну и напоследок остается возможность проверки открытой части ключа шифрования собеседника, по аналогии с WhatsApp, который недавно был у нас на обзоре. 

Наша оценка по этому критерию 8 из 10. 

Безопасность протокола и прозрачность исходного кода

Согласно данным ресурса Securemessagingapps, для обеспечения безопасности всех сведений мессенджер использует надежные криптографические алгоритмы: Curve25519 256, Salsa20 128 и HMAC-SHA256. 

Картину портит тот факт, что исходный код как серверной, так и клиентской части закрыт для общественности. Именно поэтому в полной мере оценить приватность приложения невозможно: энтузиасты и специалисты в области ИБ не могут провести независимые аудиты безопасности. 

Наша оценка: 6 из 10.

Хранение данных

Расстраивает сбор (а также хранение и использование в рекламных целях) большого количества персональной информации, а именно контента пользователя, местоположения, идентификаторов, данных о покупках, контактной информации и контактов. 

На своих серверах Viber не хранит данные обычных и скрытых чатов, за исключением сообщений, которые были отправлены, но не были прочитаны (прочитанные сообщения стираются из облака). Переписки при этом на сервере не хранятся, а к непрочитанным сообщениям у администрации доступа нет. Здесь мы можем провести еще одну параллель с WhatsApp. 

Оцениваем хранение данных на 7 из 10.

Резервные копии приложения и устройства

Viber поддерживает резервное копирование, при этом можно выделить два вида резервных копий:

1. Локальные бэкапы, хранящиеся на Android или iOS-устройстве. 
2. Облачные резервные копии. Для iOS-устройств это Viber iCloud Backup, для Android-смартфонов, соответственно, Viber Google Drive.

Данные мессенджера полностью попадают в Android-бэкап, резервная копия iTunes же содержит в себе информацию об учетной записи и чатах, контакты, переписки, звонки, опросы, кэш и куки. 

Такой объем сведений, хранящихся в резервных копиях, обусловлен удобством: в случае потери устройства, можно легко восстановить все важные переписки. Однако с точки зрения безопасности все не так надежно, и приватность пользователя оказывается под угрозой. 

Наша оценка: 4 из 10.

Настольная версия 

Viber Desktop позволяет оставаться на связи, даже если смартфона с установленным приложением нет под рукой. Наличие десктопной вариации 一 это безусловный плюс. Тем не менее, как и в большинстве случаев, версия для ПК обладает рядом уязвимостей, что портит впечатление от использования мессенджера. 

Одной из самых серьезных брешей является возможность удаленно получить доступ к учетной записи.

Еще одна уязвимость позволяла перехватить хеш-значение пароля для его последующего оффлайн-взлома. 

Да, ни одной критической бреши безопасности среди указанных нет (все они получили средний статус опасности). Тем не менее, угроза потери профиля и, как следствие, всех переписок, сильно портит впечатление.

Традиционно слабая компьютерная версия, наша оценка 4 из 10. 

Подводим итоги

Согласно нашим расчетам, Viber получает оценку 51,7, что довольно неплохо для мессенджера, не обладающего репутацией защищенного и конфиденциального. 

Признаемся честно, сервис  не подходит для тех, кто больше всего заботится о приватности своих переписок. Однако если использовать большинство функций безопасности и отказаться от общения в десктопной вариации Viber, мессенджер вполне подходит для повседневного общения.