Експертите на Роскатчествто разследват дали приложения на трети страни могат да се използват, за да се разбере кой е посетил страницата на даден потребител във ВКонтакте. А също и колко опасни са подобни приложения и каква е заплахата за потребителите при инсталирането им. От всички 56 изследвани приложения от този тип 40 за Android и 16 за iOS нито едно не беше тествано успешно. Заключение: приложенията в категорията „Моите гости на VK“ са подвеждащи по отношение на основната им заявена функционалност.
Администрацията на Vkontakte обяснява: невъзможно е да се знаят „гостите на страницата“. „Такива приложения или разширения на браузъра могат да представляват риск за профила и личните данни на потребителя. Злонамерени трети страни могат да използват такива услуги за фишинг. Съветваме ви да не използвате такива приложения и разширения. Те дадоха фалшиви резултати“, заявиха от пресслужбата на „Вконтакте“. Това не е част от архитектурата на услугата и приложенията, които твърдят, че имат такава функционалност, фалшифицират резултатите. Но стотици хиляди потребители все пак инсталират такива услуги.
Много от приложенията, проучени от Центъра за дигитална експертиза на Россътрудничество, обещаваха да „хващат гости“ не само на страниците на ВКонтакте, но и на Instagram, Twitter и Facebook. Но дори и там обещанията им се оказаха празни. По време на тестването всяко приложение беше подложено на един и същ експеримент: различен потребител посещаваше страницата на тестовия акаунт и прекарваше в нея определено време. Всички 100% приложения не успяват да идентифицират и покажат акаунта, който е използван за посещение на тестовата страница.
Основните опасности, които крият тези приложения, са липсата на гаранции за поверителност и вероятността да бъде дебитирана сметката ви. И след като е получило лични данни или пари на потребителя, приложението може просто да изчезне. Например 10 от 56 приложения са изчезнали от магазините към момента на публикуването им. В хода на проучването си експертите успяват да установят, че шест от десетте приложения имат несъответствия между IP и вход.
При проверката на приложенията експертите анализираха изходящия трафик със специализиран софтуер и проследяваха къде се насочва трафикът. Особено внимание беше отделено на запитванията за приложения по време на процеса на разрешаване. Например 60 % от приложенията на този етап изпращат заявки до други държави – повечето от тях до турски сървъри. Сред приложенията с турски корени са „Real VK Guests“, „My Guests – VK page activity“, „My VK fans“, „Search on Android for Twitter“, „MyTopFans for Twitter“.
Антон Куканов, ръководител на Центъра за дигитална експертиза на Роскачество, обяснява какво се случва, когато приложение на трета страна извършва оторизация не директно през сървъра на социалната мрежа, а през свой собствен сървър. „Представете си, че трябва да отворите вратата на апартамента си. В единия случай изваждате ключовете от джоба си и ги поставяте в ключалката, за да отворите вратата. В другия случай давате ключовете на непознат и той отваря вратата по ваша молба. Но не знаете какво ще направи непознатият, преди да отворите вратата. Той може да направи отливка на ключовете и да ги използва по-късно за свои цели.“.
Условно безплатните приложения бяха 54 от 56. „Безплатните“ приложения имат реклами и именно те позволяват на собствениците им да печелят от дейността си. Рекламите или изобщо не се изключват, или се изключват срещу заплащане. В приложенията „Търсене на скрити приятели за VKontakte – Търсачка за VKontakte“ и „Кой е гледал моите снимки VK?“ показва банери в цял размер, върху които е лесно да се кликне случайно, което може да доведе до фишинг и други злонамерени сайтове, тъй като разработчиците не са много придирчиви в избора си на рекламодатели.
В две приложения с платен абонамент това не е очевидно: потребителят е представен само веднъж с формуляр и не е информиран за бъдещи разходи. Това може да бъде свързано с такса, която би била изненада за потребителя.
Прекомерните разрешения са класическа уязвимост в устройствата с Android, при която дадено приложение може да получи важен достъп, без да уведоми потребителите. По време на проучването не беше открит явен шпионски софтуер, но трябва да обърнете внимание на приложенията, които имат достъп до камерата, съхранението и търсенето на други акаунти на устройството – това е потенциално шпионска функционалност „VK гости“, „Моите гости – активност на страницата на VK“, „Реални VK гости“ и „Гости и статистика от Vkontakte“ . Въпреки че тези достъпи се дължат на логиката на приложенията, трябва да се има предвид, че нито едно от тях не е от официален разработчик. Така че трябва да сте наясно, че се намирате в потенциално опасна среда, и всяка нова заявка за достъп трябва да се обработва с особено внимание.
Ако внимателно прочетете описанието на приложенията, почти навсякъде се споменава, че те не дават стопроцентова гаранция, че ще идентифицират гостите на страницата, а само анализират отворената информация, предавана от сървърите на VKontakte чрез API Application Programming Interface .
Антон Куканов, ръководител на Центъра за дигитална експертиза на Роскачество: „Основният потенциален риск е прехвърлянето на данните от профила ви на сървър на трета страна. Може да загубите акаунта си и всичко, което хоствате в него лични данни, разговори и съдържание . А ако даден потребител използва същата комбинация „потребителско име/парола“ в други ресурси, всички услуги са застрашени едновременно. Не забравяйте, че влизайки в неофициални приложения не става дума за влизане „със или чрез социална мрежа“ , вие съзнателно предавате данните от профила си на трети страни, които не гарантират надеждността на. Roskachestvo препоръчва: не инсталирайте такива приложения; използвайте само официални мобилни клиенти“
Моля, може ли да споделите резултатите от тестовете на гост приложенията за VKontakte, които е извършило Роскачество? Интересува ме кои са най-добрите приложения, които препоръчвате за използване във VKontakte. Благодаря!