Roskatchestvo-experter har tagit reda på om det är möjligt att med hjälp av tredjepartsapplikationer ta reda på vem som besökte sidan för en användare av ”VKontakte”. Dessutom får du veta hur farliga sådana här program är och vilka risker användare löper när de installerar dem. Av de 56 studerade apparna av denna typ 40 för Android och 16 för iOS klarade inte en enda av dem testet. Slutsats: Apparna för kategorin My VK Guests är vilseledande när det gäller den grundläggande funktionalitet som de påstår sig ha.
Administrationen av det sociala nätverket ”VKontakte” klargör: Det är omöjligt att känna till ”sidans gäster”. ”Sådana appar eller webbläsartillägg kan utgöra en risk för användarens konto och personuppgifter. Angripare kan använda sådana tjänster för phishing. Vi rekommenderar att du avstår från att använda sådana appar och tillägg. De visar osanna resultat”, hävdade VKontakte:s presstjänst. Detta är inte möjligt i själva tjänstens arkitektur, och tillämpningar som påstås ha sådan funktionalitet förfalskar resultaten. Men hundratusentals användare installerar ändå sådana tjänster.
Många av de appar som testades av Roskatchestvo’s Digital Expertise Center lovade att ”fånga gäster” inte bara på VKontakte-sidor, utan även på Instagram, Twitter och Facebook. Men även där visade sig deras löften vara tomma. Vi utförde samma experiment med varje app: en annan användare besöker testkontosidan och tillbringar en viss tid på den. Alla 100 % av apparna misslyckades med att upptäcka och visa det konto från vilket de fick tillgång till testsidan.
De största farorna med dessa appar är bristen på integritetsgarantier och risken för att ditt konto debiteras på ditt konto. Efter att ha fått personuppgifter eller pengar från en användare kan appen helt enkelt försvinna. Till exempel hade 10 av 56 appar försvunnit från butikerna vid tidpunkten för offentliggörandet. Under forskningen lyckades experterna fastställa att sex av dessa tio tillämpningar inte hade IP-login som inte stämde överens med den riktiga IP-login.
När apparna testas analyserar experterna den utgående trafiken med specialiserad programvara och övervakar vart trafiken styrs. Särskilt intresse fästes vid de krav som appen ställde under tillståndsförfarandet. I detta skede skickade alltså 60 % av apparna förfrågningar till andra länder – de flesta till turkiska servrar. Bland appar med turkiska rötter finns ”Real VK Guests”, ”My Guests – VK Page Activity”, ”My VK Fans”, ”Search on Android for Twitter”, ”MyTopFans for Twitter”.
Anton Kukanov, chef för Roskatchestvo’s Digital Expertise Centre, förklarar vad som händer när en tredjepartsapp inte godkänner via en social nätverkssajt direkt, utan via sin egen server. ”Tänk dig att du behöver öppna dörren till din lägenhet. I ett fall tar du nycklarna ur fickan och stoppar dem själv i nyckelhålet för att öppna dörren. Den andra är att du ger dina nycklar till en främling som öppnar dörren åt dig. Men du vet inte vad denna främling kommer att göra innan du öppnar dörren. Kanske kommer han att göra en avgjutning av nycklarna och använda dem senare för sina egna syften”.
De villkorligt fria 54 av 56 appar visade sig vara. De ”gratis” apparna har reklam, och det är detta som gör det möjligt för deras ägare att tjäna pengar på sin verksamhet. Annonser stängs inte alls av eller stängs av mot en avgift. I programmen ”Sök efter dolda vänner på VK – sökare för VKontakte” och ”Vem tittade på mina bilder på VK”?”Det finns banners i full storlek som är lätta att klicka på av misstag, vilket kan leda till en phishing- eller annan skadlig webbplats, eftersom utvecklarna inte är särskilt kräsna när det gäller valet av annonsörer.
I de två apparna med betalda prenumerationer är det inte uppenbart: användaren får bara se designfönstret en gång och får ingen information om framtida utgifter. Detta kan leda till en debitering som kommer som en överraskning för användaren.
Överdrivna behörigheter är en klassisk sårbarhet för Android-enheter, där en app kan få viktig åtkomst utan att meddela användaren. Det upptäcktes inte några uppenbara spionprogram under studien, men du bör vara uppmärksam på program som ger tillgång till kameran, lagring och sökning efter andra konton på enheten – detta är en potentiell spionfunktion ”VK Guests”, ”My guests – Activity on VK page”, ”Real VK Guests” och ”Guests and Statistics from Vkontakte” . Även om dessa åtkomster beror på appens logik är det värt att komma ihåg att ingen av dem kommer från en officiell utvecklare. Så du måste vara medveten om att du befinner dig i en potentiellt osäker miljö och du måste behandla varje ny begäran om tillträde med extra omsorg.
Om du läser beskrivningarna av applikationerna noggrant nämns nästan överallt att de inte ger en hundraprocentig garanti för att de kommer att ange sidans gäster, utan endast analyserar den öppna information som överförs av VKontakte-servrarna via API Application Programming Interface .
Anton Kukanov, chef för Roskatchestvo’s Center for Digital Expertise: ”Den största potentiella risken är när dina kontouppgifter överförs till en tredje parts server. Du kan förlora ditt konto och allt som finns i det personuppgifter, korrespondens och deras innehåll . Och om en användare använder samma kombination av inloggning och lösenord på andra webbplatser äventyras alla tjänster på en gång. Kom ihåg att du genom att logga in i inofficiella applikationer inte ”med eller via ett socialt nätverk” medvetet lämnar dina kontouppgifter till tredje part, vars integritet inte kan garanteras. Roskachevo rekommenderar: Installera inte sådana appar och använd endast officiella mobilklienter”
Vad är slutsatsen från Roskatchestvos test av VKontakte-appar för gäster? Är det värt att använda dem eller finns det några problem som bör undvikas? Tack på förhand för informationen!