Roskachestvo tesztelte a vendég VKontakte alkalmazásokat

A Roskatchestvo szakértői kiderítették, hogy harmadik féltől származó alkalmazások segítségével kideríthető, hogy ki látogatta meg egy felhasználó Vkontakte oldalát. És azt is, hogy az ilyen jellegű alkalmazások mennyire veszélyesek, és milyen veszélyt jelent a telepítésük a felhasználókra nézve. A vizsgált 56 ilyen típusú alkalmazás közül 40 Androidon és 16 iOS-en egyetlen egy sem ment át sikeresen a teszten. Következtetés: a „My VK Guests” kategóriába tartozó alkalmazások félrevezetőek az alapvető állítólagos funkcionalitásukat illetően.

A VKontakte közösségi hálózat adminisztrációja tisztázza: nem lehet felismerni az „oldal vendégeit”. „Az ilyen alkalmazások vagy böngészőbővítmények kockázatot jelenthetnek a felhasználó fiókjára és személyes adataira nézve. A támadók az ilyen szolgáltatásokat adathalászatra használhatják. Javasoljuk, hogy tartózkodjon az ilyen alkalmazások és kiterjesztések használatától. Ezek valótlan eredményeket mutatnak” – közölte a VKontakte sajtószolgálata. Ez nem része magának a szolgáltatási architektúrának, és az ilyen funkcióval rendelkezőnek mondott alkalmazások meghamisítják az eredményeket. De több százezer felhasználó még mindig telepíti ezeket a szolgáltatásokat.

A Roskatchestvo Digitális Szakértői Központ által vizsgált alkalmazások közül sokan azt ígérték, hogy nemcsak a VKontakte oldalakon, hanem az Instagramon, a Twitteren és a Facebookon is „vendégeket fognak”. De még ott is üresnek bizonyultak az ígéreteik. A tesztelés során minden alkalmazással ugyanazt a kísérletet végezték el: egy másik felhasználó belépett a tesztfiók oldalára, és bizonyos időt töltött rajta. Az alkalmazások 100%-a nem tudta azonosítani és megjeleníteni azt a fiókot, amelyről a tesztoldalra lépett.

Ezeknek az alkalmazásoknak a fő veszélyei az adatvédelmi garanciák hiánya és annak valószínűsége, hogy a számláját megterhelik. Miután megszerezte a felhasználó személyes adatait vagy pénzét, az alkalmazás egyszerűen eltűnhet. Például 56 alkalmazásból 10 eltűnt az üzletekből a közzététel időpontjáig. Kutatásuk során sikerült kideríteniük, hogy tíz alkalmazásból hatnak nem megfelelő IP bejelentkezése volt.

Az alkalmazások ellenőrzése során a szakemberek speciális szoftverrel elemezték a kimenő forgalmat, és nyomon követték, hogy hová küldték a forgalmat. Az engedélyezési eljárás során különös figyelmet fordítottak az alkalmazások iránti kérelmekre. Például az alkalmazások 60%-a ebben a szakaszban más országokba küldött kéréseket – a legtöbbet török szerverekre. A török gyökerű alkalmazások közé tartoznak a „Real VK Guests”, „My Guests – VK Page Activity”, „My VK Fans”, „Search on Android for Twitter”, „MyTopFans for Twitter”.

Anton Kukanov, a Roskatchestvo Digitális Szakértői Központjának vezetője elmagyarázza, mi történik, ha egy harmadik féltől származó alkalmazás a saját szerverén keresztül engedélyez, ahelyett, hogy közvetlenül a közösségi hálózat szerverén keresztül engedélyezné az alkalmazást. „Képzeld el, hogy ki kell nyitnod a lakásod ajtaját… Az egyik esetben kiveszi a kulcsokat a zsebéből, és a kulcslyukon keresztül nyitja ki az ajtót. A másikban odaadod a kulcsaidat egy idegennek, és ő kinyitja az ajtót a kérésedre. De nem tudhatod, mit fog tenni ez az idegen, mielőtt kinyitnád az ajtót. Lehet, hogy a kulcsokról formát készített, és később saját céljaira használta fel őket.

56 alkalmazásból 54 ingyenesnek minősült. Az „ingyenes” alkalmazások reklámmal rendelkeznek, ami lehetővé teszi a tulajdonosok számára, hogy tevékenységüket pénzzé tegyék. A hirdetéseket vagy egyáltalán nem kapcsolják ki, vagy díj ellenében kapcsolják ki. Az alkalmazásokban „Rejtett barátok keresése a VK számára – Vkontakte Searcher” és „Ki nézte a VK-fotóimat”?”Teljes méretű bannerek jelennek meg, amelyekre könnyen lehet véletlenül rákattintani, és adathalász vagy más rosszindulatú oldalakra vezethetnek, mivel a fejlesztők nem túl válogatósak a hirdetők kiválasztásában.

A két fizetős előfizetéssel rendelkező alkalmazásban ez nem nyilvánvaló: a felhasználónak csak egyszer jelenik meg egy ablak az elrendezéssel, és nincs utalás a jövőbeli kiadásokra. Ez a felhasználó számára meglepetésként érheti a díjat.

A túlzott engedélyek klasszikus sebezhetőséget jelentenek az Android-eszközökön, ahol egy alkalmazás fontos hozzáféréseket szerezhet anélkül, hogy a felhasználókat értesítené. A vizsgálat során nem találtak kifejezett kémprogramokat, de figyelni kell azokra az alkalmazásokra, amelyek hozzáférnek a kamerához, a tárolóhoz és más fiókok kereséséhez az eszközön – ez potenciálisan kémfunkció „VK vendégek”, „Vendégeim – tevékenység a VK oldalon”, „Valódi VK vendégek” és „Vendégek és statisztikák a Vkontaktéból” . Bár ezeket a hozzáféréseket az alkalmazás logikája határozza meg, érdemes szem előtt tartani, hogy egyikük sem hivatalos fejlesztőtől származik. Tehát tisztában kell lennie azzal, hogy potenciálisan nem biztonságos környezetben van, és minden új hozzáférési kérelmet fokozott óvatossággal kell kezelnie.

Ha figyelmesen elolvassa az alkalmazások leírását, szinte mindenhol megemlítik, hogy nem adnak száz százalékos garanciát arra, hogy jelzik az oldal vendégeit, hanem csak a VKontakte szerverek által az API-n az alkalmazás programozási felületén keresztül továbbított nyitott információkat elemzik.

Anton Kukanov, a Roskatchestvo Digitális Szakértői Központjának vezetője: „A fő potenciális kockázat a számlaadatok harmadik fél szerverére történő átvitele”. Fennáll a veszélye annak, hogy elveszíti fiókját és mindent, amit tartalmaz személyes adatok, levelezés és tartalom . És ha egy felhasználó ugyanazt a „bejelentkezési/jelszó” kombinációt használja más oldalakon is, az összes szolgáltatás egyszerre veszélybe kerül. Ne feledje, hogy a nem hivatalos alkalmazásokba való bejelentkezéssel nem a „közösségi hálózatok használatával vagy azokon keresztül” szándékosan továbbítja fiókjának adatait harmadik feleknek, amelyek sértetlensége nem garantálható. A Roskatchestvo azt ajánlja: Ne telepítsen ilyen alkalmazásokat, és csak hivatalos mobil klienseket használjon”