Odborníci z Roskatchestvo zisťujú, či je možné pomocou aplikácií tretích strán zistiť, kto navštívil stránku používateľa Vkontakte. A tiež to, aké nebezpečné sú tieto druhy aplikácií a akým rizikám čelia používatelia, keď si ich nainštalujú. Zo všetkých 56 skúmaných aplikácií tohto typu 40 pre Android a 16 pre iOS nebola úspešne testovaná žiadna. Záver: Aplikácie kategórie „Moji hostia VK“ sú zavádzajúce, pokiaľ ide o ich hlavné deklarované funkcie.
Správa sociálnej siete „VKontakte“ objasňuje: nie je možné poznať „hostí stránky“. „Takéto aplikácie alebo rozšírenia prehliadača môžu predstavovať riziko pre používateľské konto a osobné údaje. Útočníci môžu takéto služby využívať na phishing. Používanie takýchto aplikácií a rozšírení neodporúčame. Vykazujú falošné výsledky,“ uviedla tlačová kancelária spoločnosti VKontakte. Architektúra samotnej služby to nezabezpečuje a aplikácie, ktoré sa tvária, že majú túto funkciu, falšujú výsledky. Stovky tisíc používateľov si však stále inštalujú takéto služby.
Mnohé aplikácie, ktoré skúmalo centrum digitálnej expertízy Roskatchestvo, sľubovali, že „chytia hostí“ nielen na stránkach VKontakte, ale aj na Instagram, Twitter a Facebook. Aj tam sa však ich sľuby ukázali ako prázdne. Počas testovania bola každá aplikácia podrobená rovnakému experimentu: iný používateľ navštívil stránku testovacieho účtu a strávil na nej určitý čas. Všetkých 100 % aplikácií nedokázalo identifikovať a zobraziť účet, z ktorého pristupovali na testovaciu stránku.
Hlavným nebezpečenstvom takýchto aplikácií je nedostatok záruk ochrany osobných údajov a pravdepodobnosť zaťaženia vášho účtu. Po získaní poverení používateľa alebo peňazí môže aplikácia jednoducho zmiznúť. Napríklad 10 z 56 aplikácií zmizlo z obchodov v čase zverejnenia. Počas prieskumu sa odborníkom podarilo zistiť, že v šiestich z desiatich aplikácií nebol zistený nesúlad IP prihlasovacieho mena so skutočným.
Pri testovaní aplikácií odborníci analyzovali odchádzajúcu prevádzku pomocou špecializovaného softvéru a sledovali, kam prevádzka smeruje. Osobitný záujem bol venovaný požiadavkám aplikácie počas postupu schvaľovania. Napríklad 60 % aplikácií v tejto fáze odoslalo požiadavky do iných krajín – väčšina smerovala na turecké servery. Medzi aplikácie s tureckými koreňmi patria Real VK Guests, My Guests – VK Page Activity, My VK Fans, Search on Android for Twitter, MyTopFans for Twitter.
Anton Kukanov, vedúci Centra digitálnych expertíz spoločnosti Roskačestvo, vysvetľuje, čo sa stane, keď sa aplikácia tretej strany autorizuje prostredníctvom vlastného servera a nie priamo cez server sociálnej siete. „Predstavte si, že potrebujete otvoriť dvere do svojho bytu. V jednom prípade vytiahnete kľúče z vrecka a vložíte ich do kľúčovej dierky, čím otvoríte dvere. V inom prípade dáte kľúče cudziemu človeku a ten vám otvorí dvere. Ale neviete, čo tento cudzinec urobí, kým otvoríte dvere. Mohol by si z nich urobiť odliatok a neskôr ich použiť na vlastné účely.“.
Päťdesiatštyri z 56 aplikácií je podmienečne bezplatných. „Bezplatné“ aplikácie majú reklamu, ktorá ich majiteľom umožňuje zarábať na ich činnosti. Reklamy buď nie sú vypnuté vôbec, alebo sú vypnuté za poplatok. Aplikácie „Vyhľadávanie skrytých priateľov pre VKontakte – VKontakte Explorer“ a „Kto sa pozeral na moje fotografie na VK?Zobrazovali sa „bannery v plnej veľkosti, na ktoré sa dalo ľahko náhodne kliknúť a ktoré mohli viesť na phishingové alebo iné škodlivé stránky, keďže vývojári neboli pri výbere inzerentov príliš vyberaví.
V dvoch aplikáciách s plateným predplatným to nie je zrejmé: používateľovi sa len raz zobrazí okno s pokladňou a nie je informovaný o budúcich výdavkoch. To môže viesť k peňažným poplatkom, ktoré používateľa prekvapia.
Nadmerné oprávnenia – klasická zraniteľnosť v zariadeniach so systémom Android, pri ktorej môže aplikácia získať dôležitý prístup bez toho, aby o tom informovala používateľov. Počas prieskumu nebol zistený očividný spyware, ale mali by ste venovať pozornosť aplikáciám, ktoré pristupujú k fotoaparátu, úložisku a vyhľadávajú iné účty vo vašom zariadení – ide o potenciálne špionážne funkcie „Hostia VK“, „Moji hostia – aktivita na stránke VK“, „Skutoční hostia VK“ a „Hostia a štatistiky z VKontakte“ . Hoci tieto prístupy podliehajú logike aplikácií, treba mať na pamäti, že žiaden z nich nie je od oficiálneho vývojára. Musíte si teda uvedomiť, že sa nachádzate v potenciálne nezabezpečenom prostredí, a každú novú žiadosť o prístup posudzovať so zvýšenou pozornosťou.
Ak si pozorne prečítate popis aplikácií, takmer vždy sa uvádza, že neposkytujú stopercentnú záruku, že hostia stránky budú identifikovaní, ale len analyzujú otvorené informácie prenášané servermi VKontakte prostredníctvom rozhrania API Application Programming Interface .
Anton Kukanov, vedúci centra digitálnych expertíz spoločnosti Roskačestvo: „Hlavným potenciálnym rizikom je prenos údajov o vašom účte na server tretej strany. Môžete prísť o svoje konto a všetko, čo sa na ňom nachádza osobné údaje, korešpondencia a obsah . A ak používateľ použije rovnakú kombináciu používateľského mena a hesla na iných lokalitách – všetky služby sú naraz ohrozené. Pamätajte, že keď sa prihlasujete do neoficiálnych aplikácií nehovoríme o prihlásení „pomocou sociálnej siete alebo cez ňu“ , vedome zdieľate údaje o svojom účte s cudzími osobami – a neexistuje žiadna záruka ich integrity. Roskatchestvo odporúča: Neinštalujte takéto aplikácie; používajte len oficiálnych mobilných klientov
Ahoj! Máte prosím někdo zkušenosti s testováním aplikace VKontakte od Roskachestva? Jaká byla vaše zkušenost s touto aplikací? Doporučujete ji používat? Díky za vaše názory a rady!