Росквество је тестирао „гостујуће“ апликације „вконтакте“

Експерти Росквестая сазнали да ли је могуће помоћу независних апликација сазнати ко је посетио страницу корисника“ВКонтакте“. Као и колико су опасне ове врсте апликација и шта прети корисницима да их инсталирају. Од свих 56 проучаваних апликација овог типа 40 на Андроид платформи и 16 на иОС-у, ниједна није успешно тестирана. Закључак: апликације категорије „Моји гости у ВК“ обмањују основну наведену функционалност.

Администрација друштвене мреже „ВКонтакте“ објашњава: немогуће је знати „госте странице“ . „Сличне апликације или проширења прегледача могу представљати ризик за кориснички налог и његове личне податке. Нападачи могу да користе такве услуге за пхисхинг. Саветујемо вам да се уздржите од коришћења таквих апликација и проширења. Они показују неистините резултате“, наводи се у прес-служби ВКонтакте. То није предвиђено самом архитектуром услуге, а апликације које наводно имају такву функционалност фалсификују резултате. Али стотине хиљада корисника ионако инсталирају сличне услуге.

Facebook, Instagram za digitalnu ekspertaciju, obećao je da će „uhvatiti goste“ ne samo na stranicama „Vkontakte“, već i na Instagramu, Twitteru, Facebook-u. Међутим, и тамо су њихова обећања била празна. Током тестирања, исти експеримент је спроведен са сваком апликацијом: други корисник је приступио страници Тест налога и провео одређено време на њој. Свих 100% апликација није успело да идентификује и прикаже налог са којег је приступило тест страници.

Главне опасности таквих апликација су недостатак гаранција приватности и могућност наплате новца са вашег рачуна. Истовремено, добијањем личних података или корисничког новца, апликација може једноставно нестати. Дакле, 10 од 56 апликација је нестало из продавница до тренутка објављивања. Током студије, стручњаци су успели да утврде да је шест од ових десет апликација имало неусклађеност ИП пријаве са стварном.

Приликом провере апликација, Стручњаци су анализирали одлазни саобраћај помоћу специјализованог софтвера и пратили куда је тај саобраћај кренуо. Посебан интерес је дат захтевима апликације током поступка ауторизације. Тако је 60% апликација у овој фази послало захтеве другим земљама-већина је отишла на турске сервере. Међу апликацијама са турским коренима су“ прави Гости ВЦ-а“, „моји гости – активност на ВЦ страници“, „моји фанови ВЦ-а“,“ Сеарцх он Андроид фор Твиттер“,“Митопфанс фор Твиттер“.

Шеф Центра за дигиталну експертизу Роскварт Антон Куканов објашњава шта се дешава ако апликација треће стране не врши ауторизацију директно преко сервера друштвене мреже, већ преко сопственог сервера. „Замислите, морате отворити врата свог стана. У једном случају сами извадите кључеве из џепа и убаците их у бунар, отварајући врата. У другом – дајете кључеве странцу и он отвара врата на ваш захтев. Али не знате шта ће овај странац учинити пре него што отвори врата. Можда ће направити одлив кључева и касније их користити у своје сврхе“.

Условно бесплатно показало се 54 од 56 апликација. У „бесплатним“ апликацијама постоје огласи, то је оно што омогућава њиховим власницима да уновче своје активности. Огласи се или уопште не искључују или се искључују за новац. У апликацијама „проналажење скривених пријатеља за ВК-Детектив за Вконтакте“ и “ ко је гледао моје ВК фотографије?“означени су прикази банера у пуној величини на које је лако случајно кликнути, што је испуњено преласком на пхисхинг или другу злонамерну локацију, јер програмери нису превише избирљиви у избору оглашивача.

У две апликације са плаћеном претплатом то није очигледно: кориснику је само једном приказан прозор са уметничким делима и не говори о будућем трошењу. Ово је потенцијално испуњено отписом готовине који ће бити изненађење за корисника.

Сувишне дозволе су класична рањивост Андроид уређаја, где апликација може добити важан приступ без обавештавања корисника. Искрено шпијунски софтвер у студији није пронађен, али треба обратити пажњу на апликације које приступају камери, складишту и проналажењу других налога на уређају-то је потенцијално шпијунска функционалност „ВЦ гости“, „Моји гости – активност на ВЦ страници“, „прави Гости ВЦ“ и „Гости и Статистика из Вконтакте“ . Иако су ови приступи вођени логиком рада апликација, вреди узети у обзир да ниједан од њих није од званичног програмера. Дакле, неопходно је схватити да се налазите у потенцијално несигурном окружењу и тражити сваки нови приступ да се гледа са повећаном пажњом.

Ако пажљиво прочитате опис апликација, готово свуда се помиње да они не дају стопостотну гаранцију да ће указати на госте странице, већ само анализирају отворене информације које сервери „ВКонтакте“ преносе путем АПИ-ја програмски интерфејс апликације .

Шеф Центра за дигиталну експертизу Роскварт Антон Куканов: „главни потенцијални ризик је пренос података о свом налогу на сервер треће стране. То је испуњено губитком рачуна и свега што садржи личне податке, преписке и њихов садржај . А ако корисник примени исти пакет „пријава / лозинка“ и на другим ресурсима-све услуге одједном су угрожене. Запамтите, ауторизацијом у незваничним апликацијама не ради се о пријављивању „путем или путем друштвене мреже“, свесно преносите податке о свом налогу трећим странама чије гаранције добре вере не постоје. Росквесто препоручује: не инсталирајте такве апликације, већ користите само званичне мобилне клијенте“