Детективне агентство «Эксперт» провело дослідження безпеки використання ПЗ «Вайбер»
Питання на дослідження:
«Чи можливо проведення реєстрації облікового запису у ПЗ «Вайбер» в автоматизованій системі (стаціонарному персональному комп’ютері, ноутбукі чи смартфоні ) у разі отримання короткочасного доступу до сім карти, за якою закріплено номер відповідного оператора зв’язку без відома власника сім карти, а також в подальшому довгострокове використання цього облікового запису для користування ПЗ «Вайбер» в цій автоматизованій системі без доступу до цієї сім карти?»
Для запуску роботи облікового запису ПЗ «Вайбер» на смартфоні достатньо провести процедуру аутентифікації. Для цього, після встановлення ПЗ «Вайбер» користувач вводить номер мобільного телефону. Після цього з серевр ПЗ «Вайбер» проводить відправлення SMS повідомлення з кодом активації на даний телефонний номер. Користувач, який отримав доступ до цього коду, (не важливо, чи сім-карта закріплена за номером телефону знаходиться у смартфоні, де використовується ПЗ «Вайбер», чи в іншому телефоні, головне що користувач ПЗ «Вайбер» отримає код) вводить його до ПЗ «Вайбер». Після такої операції користувач вважається аутефікованим у системі ПЗ «Вайбер». При цьому даний номер телефону буде висвітлюватися, як номер користувача ПЗ «Вайбер».
Такий користувач зможе використовувати свій обліковий запис ПЗ «Вайбер» доти, доки інша особа не використає такий саме номер телефону для реєстрації свого облікового запису ПЗ «Вайбер».
Таким чином, довготривале використання облікового запису ПЗ «Вайбер» без постійного доступу до сім карти за якою закріплено номер відповідного оператора зв’язку цілком можливо, у разі отримання короткочасного доступу до цієї сім карти, без відома власника сім карти. подальшому довгострокове використання цього облікового запису для користування ПЗ «Вайбер» в цій автоматизованій системі без доступу до цієї сім карти.
«Протягом якого часу (короткострокове, довгостроково) можливе використання облікового запису ПЗ «Вайбер» для користування ПЗ «Вайбер», яке встановлене на автоматизовану систему без доступу до сім карти та номеру телефону та без відома власника такої сім карта з відповідним номером?»
Таке користування можливе доти, доки інша особа не використає такий саме номер відповідного оператора зв’язку, для реєстрації свого облікового запису ПЗ «Вайбер». При цьому вищевказана особа повинна мати доступ до сім карти за якою закріплено номер відповідного оператора зв’язку або до автоматизованої системи, де встановлена така сім карта, щоб отримати СМС – повідомлення з кодом активації облікового запису у ПЗ «Вайбер».
Якщо інша особа (в т.ч. власник сім карти) не активує обліковий запис ПЗ «Вайбер» з використанням такого самого номеру відповідного оператора зв’язку, довгострокове використання облікового запису ПЗ «Вайбер» для користування ПЗ «Вайбер», яке встановлене на автоматизовану систему без доступу до сім карти та номеру телефону та без відома власника такої сім карта з відповідним номером, можливе.
«Чи передбачено ПЗ «Вайбер», інформування про користування ПЗ «Вайбер», шляхом відправлення СМС-повідомлень безпосередньо на номер сім карти відповідного оператора зв’язку?»
ПЗ «Вайбер» відправляє СМС-повідомлення на номер власника облікового запису лише для перевірки, чи дійсно особа, яка ввела відповідний номер мобільного телефону, дійсно є його власником. Тобто, після того, як обліковий запис ПЗ «Вайбер» активований у автоматизованій системі, наступне СМС-повідомлення від ПЗ «Вайбер» на номер відповідного оператора зв’язку, який використовувався для реєстрації облікового запису ПЗ «Вайбер», прийде лише при спробі активувати за допомогою цього номеру обліковий запис ПЗ «Вайбер» на іншій автоматизованій системі.
Отже, доки не буде спроби встановити ПЗ «Вайбер» на іншій автоматизованій системі, на номер відповідного оператора зв’язку не буде надходити СМС-повідомлень про використання цього номеру у роботі ПЗ «Вайбер».
«Чи можливе втручання сторонніх особі у роботу (зміст збережених повідомлень) ПЗ Вайбер на смартфоні або втручання в роботу сервісу (сервери, бази даних) ПЗ Вайбер?»
Для даного ПЗ відсутня інформація про проведення експертизи з технічного захисту інформації, оцінки захисту цілісності да доступності інформації відповідними державними органами України.
Також, ПЗ «Вайбер» не є програмним продуктом з відкритим кодом, що унеможливлює проведення незалежного аудиту захисту цілісності да доступності інформації цього ПЗ.
Таким чином існує потенційна можливість, що треті особи можуть несанкціоновано впливати на зміст повідомлень ПЗ «Вайбер» у смартфоні, зокрема при фізичному доступу до нього, а також на роботу серверів, що забезпечують функціонування ПЗ «Вайбер»
Детективне агентство «Эксперт» провело дослідження безпеки використання ПЗ «Вайбер»
При проведенні дослідження використовувалися такі інформаційні джерела:
- Начало работы: установка Viber – https://support.viber.com/customer/ru/portal/articles/1340165-%D0%9D%D0%B0%D1%87%D0%B0%D0%BB%D0%BE-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%8B-%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-viber
- Смена номера телефона https://support.viber.com/customer/ru/portal/articles/2753274-%D0%A1%D0%BC%D0%B5%D0%BD%D0%B0-%D0%BD%D0%BE%D0%BC%D0%B5%D1%80%D0%B0-%D1%82%D0%B5%D0%BB%D0%B5%D1%84%D0%BE%D0%BD%D0%B0#change-phone-number-on-the-same-device
- Перелік засобів технічного захисту інформації, дозволених для забезпечення технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом – http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article?art_id=234237&cat_id=39181
- Закон України “Про наукову і науково-технічну експертизу”;
- Закон України “Про захист інформації в інформаційно-телекомунікаційних системах”;
- Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені постановою Кабінету Міністрів України від 29.03.06 № 373;
- Положення про державну експертизу в сфері технічного захисту інформації, затверджене наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 № 93, зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087″.
- НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу.
- НД ТЗІ 1.1-004-99. Загальні положення щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу.
- НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу.
ВИСНОВКИ:
- Цілком можливе використання облікового запису ПЗ «Вайбер» без постійного доступу до сім карти за якою закріплено номер відповідного оператора зв’язку, у разі отримання короткочасного доступу до цієї сім карти, без відома власника сім карти, а також в подальшому використання цього облікового запису для користування ПЗ «Вайбер» в цій автоматизованій системі без доступу до цієї сім карти.
- Можливе довгострокове використання облікового запису ПЗ «Вайбер» для користування ПЗ «Вайбер», яке встановлене на автоматизовану систему без доступу до сім карти та номеру телефону та без відома власника такої сім карта з відповідним номером.
- Доки не буде спроби встановити ПЗ «Вайбер» на іншій автоматизованій системі за допомогою номеру відповідного оператора зв’язку, на цей номер не буде надходити СМС-повідомлень про використання цього номеру у роботі ПЗ «Вайбер».
- Існує потенційна можливість, що треті особи можуть несанкціоновано впливати на зміст повідомлень ПЗ «Вайбер» у смартфоні, зокрема при фізичному доступу до нього, а також на роботу серверів, що забезпечують функціонування ПЗ «Вайбер».
Детективне агентство «Эксперт» провело дослідження безпеки використання ПЗ «Вайбер» як що Вам потрібна консультація з безпеки телефонуйте Нам.