Roskatchestvo eksperti noskaidroja, vai trešo pušu lietotnes var uzzināt, kas apmeklēja lietotāja VKontakte lapu. Mēs arī noskaidrojām, cik bīstamas ir šādas lietotnes un ar kādiem riskiem saskaras lietotāji, tās instalējot. No 56 pārskatītajām lietotnēm 40 Android un 16 iOS operētājsistēmā neviena netika veiksmīgi pārbaudīta. Secinājums: kategorijas “Mani VK viesi” lietojumprogrammas ir maldinošas attiecībā uz to galveno norādīto funkcionalitāti.
Sociālā tīkla “VKontakte” administrācija paskaidro: nav iespējams zināt “lapas viesus”. “Šādas lietotnes vai pārlūkprogrammu paplašinājumi var apdraudēt lietotāja kontu un personas datus. Uzbrucēji šādus pakalpojumus var izmantot pikšķerēšanai. Mēs iesakām atturēties no šādu lietojumprogrammu un paplašinājumu lietošanas. Tie neuzrāda patiesos rezultātus,” sacīja VKontakte preses dienests. Pakalpojuma arhitektūra pati par sevi to nenodrošina, un lietotnes, kas apgalvo, ka tām ir šāda funkcionalitāte, vilto rezultātus. Taču simtiem tūkstošu lietotāju joprojām instalē šādus pakalpojumus.
Daudzas no Roskatchestvo Digitālo ekspertīžu centra pētītajām lietojumprogrammām solīja “ķert viesus” ne tikai VKontakte lapās, bet arī Instagram, Twitter, Facebook. Bet arī tur viņu solījumi izrādījās tukši. Testā katrai lietotnei tika veikts viens un tas pats eksperiments: cits lietotājs apmeklēja testa konta lapu un pavadīja tajā noteiktu laiku. Visas 100% lietotņu nespēja identificēt un parādīt kontu, no kura tās piekļūst testa lapai.
Šo lietojumprogrammu galvenie apdraudējumi ir privātuma garantiju trūkums un iespējamība, ka no jūsu konta tiks noņemta nauda. Tomēr, ja lietotājs ir ieguvis lietotāja personas datus vai naudu, lietotne var vienkārši pazust. Līdz publicēšanas brīdim no veikaliem bija pazudušas 10 no 56 lietotnēm. Pētījuma laikā ekspertiem izdevās noskaidrot, ka sešām no šīm desmit lietotnēm IP pieteikumi nesakrita ar īstajiem.
Pārbaudot lietotnes, eksperti analizēja izejošo datplūsmu, izmantojot specializētu programmatūru, un izsekoja, uz kurieni datplūsma tika nosūtīta. Īpaša uzmanība tika pievērsta lietotnes vaicājumiem pieteikšanās procesa laikā. Faktiski 60 % šajā posmā izmantoto lietotņu nosūtīja pieprasījumus uz citām valstīm – lielākā daļa pieprasījumu tika nosūtīti uz Turcijas serveriem. Starp lietotnēm ar turku saknēm ir Real VK Guests, My Guests – aktivitāte VK lapā, My VK Fans, meklēšana Android Twitter, MyTopFans for Twitter, MyTopFans for Twitter.
Antons Kukanovs, Roskatchestvo Digitālās ekspertīzes centra vadītājs, skaidro, kas notiek, ja trešās puses lietotne autentificējas nevis tieši sociālā tīkla serverī, bet gan izmantojot savu serveri. “Iedomājieties, ka jums ir jāatver sava dzīvokļa durvis. Vienā gadījumā jūs pats izņemat atslēgas no kabatas un ievietojat tās atslēgas caurumā, atverot durvis. Citā lietotnē jūs nododat savas atslēgas svešiniekam, kurš pēc jūsu pieprasījuma atver durvis. Bet jūs nezināt, ko šis svešinieks gatavojas darīt, pirms atverat durvis. Tas varētu izgatavot atslēgu veidni un vēlāk to izmantot savām vajadzībām.”.
Piecdesmit četras no 56 lietotnēm bija nosacīti bezmaksas. “Bezmaksas” lietotnēs ir reklāma, kas ļauj to īpašniekiem pelnīt no to darbības. Reklāmas vai nu vispār nav izslēgtas, vai arī tās var izslēgt par maksu. Programmās “Slēpto draugu meklēšana VKontakte – VKontakte meklētājs” un “Kas skatījās manas fotogrāfijas VK”?Tiek rādīti “pilna izmēra reklāmkarogi, uz kuriem ir viegli nejauši noklikšķināt un kuri var novest uz pikšķerēšanas vai citu ļaunprātīgu vietni, jo izstrādātāji nav pārāk izvēlīgi reklāmdevēju izvēlē.
Divās lietotnēs ar maksas abonementiem tas nav acīmredzams: lietotājam tikai vienreiz tiek parādīts kases logs un netiek informēts par turpmākajiem izdevumiem. Tas var radīt naudas izmaksas, kas lietotājam būs pārsteigums.
Pārmērīgas atļaujas ir klasiska ievainojamība Android ierīcēs, kad lietotne var iegūt svarīgu piekļuvi, nepaziņojot par to lietotājiem. Pētījuma laikā netika atklāta acīmredzama spiegprogrammatūra, taču jums vajadzētu pievērst uzmanību lietojumprogrammām, kas piekļūst kamerai, krātuvei un meklē citus kontus ierīcē – tā ir potenciāli spiegu funkcionalitāte “VK viesi”, “Mani viesi – aktivitāte VK lapā”, “Reālie VK viesi” un “Viesi un statistika no Vkontakte” . Lai gan šīs piekļuves nosaka lietotņu loģika, ir vērts paturēt prātā, ka neviena no tām nav no oficiālā izstrādātāja. Tāpēc jums jāapzinās, ka atrodaties potenciāli nedrošā vidē, un jāpievērš īpaša uzmanība katram jaunam piekļuves pieprasījumam.
Ja uzmanīgi izlasāt lietojumprogrammu aprakstu, gandrīz visur ir minēts, ka tie simtprocentīgi negarantē, ka tie identificēs lapas viesus, bet tikai analizē publisko informāciju, ko “Vkontakte” serveri pārsūta, izmantojot API lietojumprogrammu programmēšanas saskarni .
Roskachevo Digitālo ekspertīžu centra vadītājs Antons Kukanovs: “Galvenais potenciālais risks ir tad, kad jūs pārsūtāt sava konta datus uz trešās puses serveri. Jūs varat zaudēt savu kontu un visu tajā esošo informāciju personas datus, saraksti un saturu . Un, ja lietotājs izmanto to pašu lietotājvārda un paroles kombināciju citos resursos, apdraudēti ir visi pakalpojumi vienlaikus. Atcerieties, ka, pieslēdzoties neoficiālām lietojumprogrammām runa nav par pieslēgšanos “ar vai caur sociālo tīklu” , jūs apzināti nododat sava konta datus trešām personām, kuru integritāti nevar garantēt. Roskatchestvo iesaka: neinstalējiet šādas lietotnes un izmantojiet tikai oficiālus mobilos klientus”
Vai ir sakāmvārds par viesu pieteikumu vkontakte? Vai tas ir drošs? Kādi ir Roskachestvo rezultāti? Vēlos uzzināt vairāk, jo tas man būtu noderīgs informācija.
Vai Roskachestvo konstatēja problēmas vai trūkumus viesu pieteikumos vkontakte?