Детективное агентство «Эксперт» провело исследование безопасности использования ПО «Вайбер»

Детективное агентство «Эксперт» провело исследование безопасности использования ПО «Вайбер».

Вопросы на исследование:

  • «Возможно ли проведение регистрации учетной записи в ПО «Вайбер» в автоматизированной системе (стационарном персональном компьютере, ноутбуке или смартфоне ) в случае получения кратковременного доступа к сим карте, за которой закреплен номер соответствующего оператора связи без ведома владельца сим карты, а также в дальнейшем долгосрочное использование этого аккаунта для пользования ПО «Вайбер» в этой автоматизированной системе без доступа к этой сим карты?»

Для запуска работы учетной записи ПО «Вайбер» на смартфоне достаточно провести процедуру аутентификации. Для этого, после установки ПО «Вайбер» пользователь вводит номер мобильного телефона.

После этого с серевр ПО «Вайбер» проводит отправки SMS-сообщения с кодом активации на данный телефонный номер. Пользователь, который получил доступ к этому коду, (не важно, сим-карта закреплена за номером телефона находится в смартфоне, где используется ПО «Вайбер», или в другом телефоне, главное что пользователь ПО «Вайбер» получит код) вводит его в ПО «Вайбер».

После такой операции пользователь считается аутефицированным в системе ПО «Вайбер». При этом данный номер телефона будет высвечиваться, как номер пользователя ПО «Вайбер».

Такой пользователь сможет использовать свою учетную запись ПО «Вайбер» до тех пор, пока другое лицо не использует такой именно номер телефона для регистрации аккаунта ПО «Вайбер».

Таким образом, длительное использование учетной записи ПО «Вайбер» без постоянного доступа к сим карты за которой закреплен номер соответствующего оператора связи вполне возможно, в случае получения кратковременного доступа к этой сим карты, без ведома владельца сим карты. дальнейшем долгосрочное использование этого аккаунта для пользования ПО «Вайбер» в этой автоматизированной системе без доступа к этой сим карты.

  • «В течение какого времени (краткосрочное, длительно) возможно использование учетной записи ПО «Вайбер» для пользования ПО «Вайбер», которое установлено на автоматизированную систему без доступа к сим карты и номера телефона и без ведома владельца такой сим-карта с соответствующим номером?»

Такое пользование возможно до тех пор, пока другое лицо не использует такой именно номер соответствующего оператора связи, для регистрации своей учетной записи ПО «Вайбер». При этом вышеуказанное лицо должно иметь доступ к сим карты за которой закреплен номер соответствующего оператора связи или автоматизированной системы, где установлена такая сим-карта, чтобы получить СМС – сообщение с кодом активации учетной записи в ПО «Вайбер».

Если другое лицо (в т.ч. владелец сим карты) не активирует учетную запись ПО «Вайбер» с использованием такого же номера соответствующего оператора связи, долгосрочное использование учетной записи ПО «Вайбер» для пользования ПО «Вайбер», которое установлено на автоматизированную систему без доступа к сим карты и номера телефона и без ведома владельца такой сим-карта с соответствующим номером, возможно.
  • «Предусмотрено ПО «Вайбер», информирование о пользовании ПО «Вайбер», путем отправления СМС-сообщений непосредственно на номер сим карты соответствующего оператора связи?»

ПО «Вайбер» отправляет СМС-сообщение на номер владельца аккаунта только для проверки, действительно ли лицо, которое ввела соответствующий номер мобильного телефона, действительно является его владельцем. То есть, после того, как учетная запись ПО «Вайбер» активирован в автоматизированной системе, следующее СМС-сообщение от ПО «Вайбер» на номер соответствующего оператора связи, который использовался для регистрации учетной записи ПО «Вайбер», придет лишь при попытке активировать с помощью этого номера учетная запись ПО «Вайбер» на другой автоматизированной системе.

Следовательно, пока не будет попытки установить ПО «Вайбер» на другой автоматизированной системе, на номер соответствующего оператора связи не будет поступать СМС-сообщений об использовании этого номера в работе ПО «Вайбер».

  • «Возможно вмешательство посторонних лицу в работу (содержание сохраненных сообщений) ПО Вайбер на смартфоне или вмешательства в работу сервиса (сервера, базы данных) ПО Вайбер?»

Для данного ПО отсутствует информация о проведении экспертизы по технической защите информации, оценки защиты целостности да доступности информации соответствующими государственными органами Украины. Также, ПО «Вайбер» не является программным продуктом с открытым кодом, что делает невозможным проведение независимого аудита защиты целостности да доступности информации ПО.

Таким образом, существует потенциальная возможность, что третьи лица могут несанкционированно влиять на содержание сообщений ПО «Вайбер» в смартфоне, в частности при физическом доступе к нему, а также на работу серверов, обеспечивающих функционирование ПО «Вайбер»

Детективное агентство «Эксперт» провело исследование безопасности использования ПО «Вайбер» .

При проведении исследования использовались следующие информационные источники:

  1. Начало работы: установка Viber - https://support.viber.com/customer/ru/portal/articles/1340165-%D0%9D%D0%B0%D1%87%D0%B0%D0%BB%D0%BE-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%8B-%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-viber
  2. Смена номера телефона
  3. Перечень средств технической защиты информации, разрешенных для обеспечения технической защиты государственных информационных ресурсов и информации, требование относительно защиты которой установлена законом
  4.  Закон Украины “О научную и научно-техническую экспертизу”;
  5.  Закон Украины “О защите информации в информационно-телекоммуникационных системах”;
  6. Правила обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах, утвержденные постановлением Кабинета Министров Украины от 29.03.06 № 373;
  7.  Положение о государственной экспертизе в сфере технической защиты информации, утвержденное приказом Администрации Государственной службы специальной связи и защиты информации Украины от 16.05.2007 № 93, зарегистрированным в Министерстве юстиции Украины 16.07.2007 за № 820/14087".
  8.  НД ТЗИ 2.5-004-99 Критерии оценки защищенности информации в компьютерных системах от несанкционированного доступа.
  9.  НД ТЗИ 1.1-004-99. Общие положения по защите информации в компьютерных системах от несанкционированного доступа.
  10. НД ТЗИ 1.1-003-99 Терминология в области защиты информации в компьютерных системах от несанкционированного доступа.

Детективное агентство «Эксперт» провело исследование безопасности использования ПО «Вайбер»

ВЫВОДЫ:
  1. Вполне возможно использование учетной записи ПО «Вайбер» без постоянного доступа к сим карты за которой закреплен номер соответствующего оператора связи, в случае получения кратковременного доступа к этой сим карты, без ведома владельца сим карты, а также в дальнейшем использование этого аккаунта для пользования ПО «Вайбер» в этой автоматизированной системе без доступа к этой сим карты.
  2. Возможно долгосрочное использование учетной записи ПО «Вайбер» для пользования ПО «Вайбер», которое установлено на автоматизированную систему без доступа к сим карты и номера телефона и без ведома владельца такой сим-карта с соответствующим номером.
  3. Пока не будет попытки установить ПО «Вайбер» на другой автоматизированной системе с помощью номера соответствующего оператора связи, на данный номер будет приходить СМС-сообщений об использовании этого номера в работе ПО «Вайбер».
  4. Существует потенциальная возможность, что третьи лица могут несанкционированно влиять на содержание сообщений ПО «Вайбер» в смартфоне, в частности при физическом доступе к нему, а также на работу серверов, обеспечивающих функционирование ПО «Вайбер».

Детективное агентство «Эксперт» провело исследование безопасности использования ПО «Вайбер» обращайтесь к Нам за консультацией.

Детективное агентство «Эксперт» провело исследование безопасности использования ПО «Вайбер» -17.05.2018

 

Оставить комментарий