<p>Cormac, care to chime in? </p>
<div class="gmail_quote">On Sep 20, 2012 1:53 PM, "Collin Anderson" <<a href="mailto:collin@averysmallbird.com" target="_blank">collin@averysmallbird.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>Hi Amin,</div><div><br></div>BBG and Freedom House's report 'Safety on the Line' included some evaluation of the security of Viber. While I was disappointed in the lack of specific details overall in the publication, it did not appear that they thought too highly of the application.<div>



<br></div><div>[PDF] <a href="http://www.freedomhouse.org/sites/default/files/Safety%20on%20the%20Line.pdf" target="_blank">http://www.freedomhouse.org/sites/default/files/Safety%20on%20the%20Line.pdf</a><br><br>I'm not sure if Callanan and Dries-Ziekenheiner are on this list, but perhaps if someone could reach out to them, we could get clarifications.</div>



<div><br></div><div>Cordially,</div><div>Collin<br><br><div class="gmail_quote">On Thu, Sep 20, 2012 at 1:28 PM, Nathan of Guardian <span dir="ltr"><<a href="mailto:nathan@guardianproject.info" target="_blank">nathan@guardianproject.info</a>></span> wrote:<br>



<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>On 09/20/2012 08:36 PM, Amin Sabeti wrote:<br>
> At this time, Viber (<a href="http://www.viber.com/" target="_blank">http://www.viber.com/</a>) is so popular amongst the<br>
> Iranian people and it is one of the popular communication ways in Iran.<br>
> I was wondering to know this app is secure or not? The data is encrypted or<br>
> not?<br>
<br>
</div></div>(I have cc'd Viber's privacy email on this not. Perhaps they will chime in!)<br>
<br>
We have not done an audit of this app yet, but here's what some quick<br>
research (<a href="http://www.viber.com/privacypolicy.html" target="_blank">http://www.viber.com/privacypolicy.html</a>)<br>
 turned up some not very encouraging information. In short, it should be<br>
considered as secure as a normal telephone call, aka NOT SECURE. In<br>
addition, they make no mention of any security capabilities in their<br>
client software or protocol. I would consider Skype a safer option than<br>
Viber, which is saying a lot.<br>
<br>
We can only hope that they at least use SSL/TLS for their authentication<br>
and messaging API access from their client to their servers. It is<br>
extremely doubtful they are doing any kind of voice encryption.<br>
<br>
More detail below from their privacy policy text:<br>
<br>
1) They store a copy of all names and phone numbers in your phone's<br>
address book on their servers.<br>
<br>
"When you install the Viber App and register on the Site, you will be<br>
asked to provide us with your phone number and to allow us access to<br>
your mobile device's address book (collectively, "Personal<br>
Information"). A copy of the phone numbers and names in your address<br>
book (but not emails, notes or any other personal information in your<br>
address book) will be stored on our servers and will only be used to"<br>
<br>
2) They maintain a record of every call for 30 months:<br>
<br>
"Viber also maintains a Call Detail Record (CDR - see<br>
<a href="http://en.wikipedia.org/wiki/Call_detail_record" target="_blank">http://en.wikipedia.org/wiki/Call_detail_record</a>) for each call conducted<br>
on the system. These are industry standard records used by all phone<br>
companies. <snip> All log analysis is done in an anonymous, aggregate,<br>
non-personally identifiable manner. We may look into a specific Call<br>
Detail Record in response to a customer support request. We maintain<br>
CDRs for a period of no more than 30 months."<br>
<br>
3) Calls go direct from phone to phone if possible, meaning its clear to<br>
network operators who is calling/talking to each other.<br>
<br>
"Audio calls by users are transmitted either directly from user to user<br>
or, if direct transmission is not possible (due to, for example,<br>
firewalls), Viber servers are used to transmit the call. In the latter<br>
scenario, the information transmitted is stored briefly in volatile<br>
memory (RAM) solely to enable the transmission of the call to the other<br>
user. WE DO NOT RECORD ANY PART OF YOUR CALL."<br>
<br>
4) They make no statement about notifying you if your personal data is<br>
given to law enforcement or other authorities. Does this mean they would<br>
respond to a Iranian gov't request? Who knows, but legally they could.<br>
<br>
"We may disclose information about you if we determine that for national<br>
security, law enforcement, or other issues of public importance that<br>
disclosure of information is necessary."<br>
<br>
5) It seems like some countries/operators are blocking Viber, which<br>
means they must be using an easy to fingerprint VoIP port/protocol. This<br>
means it is easy to identify who is using Viber. (Skype, for example,<br>
does not use a standard port/protocol which makes it very hard to block,<br>
though probably still easy to identify)<br>
<br>
<a href="http://helpme.viber.com/index.php?/Knowledgebase/Article/View/87/0/blocked-countries--regions-providers" target="_blank">http://helpme.viber.com/index.php?/Knowledgebase/Article/View/87/0/blocked-countries--regions-providers</a><br>




<br>
Hope that's helpful. If I can find time for someone to run Viber through<br>
wireshark, I am sure we can provide more concrete details on their<br>
protoocl security.<br>
<br>
+n<br>
<br>
--<br>
Unsubscribe, change to digest, or change password at: <a href="https://mailman.stanford.edu/mailman/listinfo/liberationtech" target="_blank">https://mailman.stanford.edu/mailman/listinfo/liberationtech</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><b>Collin David Anderson</b><div><a href="http://averysmallbird.com" target="_blank">averysmallbird.com</a> | @cda | Washington, D.C.</div><br>
</div>
<br>--<br>
Unsubscribe, change to digest, or change password at: <a href="https://mailman.stanford.edu/mailman/listinfo/liberationtech" target="_blank">https://mailman.stanford.edu/mailman/listinfo/liberationtech</a><br></blockquote>

</div>