Эксперты Роскачества выяснили, возможно ли с помощью сторонних приложений узнать, кто посещал страницу пользователя «ВКонтакте». А также насколько опасны приложения такого рода и чем грозит пользователям их установка.
Из всех 56 изученных приложений этого типа (40 на платформе Android и 16 на iOS) ни одно не прошло тестирование успешно. Вывод: приложения категории «Мои гости в VK» вводят в заблуждение по поводу основной заявленной функциональности. Администрация социальной сети «ВКонтакте» разъясняет: приложений, которые могут показать вам данные о гостях, заходивших на вашу страницу, не существует. Это не предусмотрено самой архитектурой сервиса, а приложения, которые якобы имеют такой функционал, подделывают результаты. Но сотни тысяч пользователей все равно устанавливают подобные сервисы.
Многие исследованные специалистами Центра цифровой экспертизы Роскачества приложения обещали «поймать гостей» не только на страницах «ВКонтакте», но и в Instagram, Twitter, Facebook. Однако и там их обещания оказались пустыми. В ходе тестирования с каждым приложением был проведен один и тот же эксперимент: на страницу тестового аккаунта заходил другой пользователь и проводил на ней определенное время. Все 100% приложений не смогли определить и показать аккаунт, с которого заходили на тестовую страницу.
Главные опасности таких приложений – отсутствие гарантий конфиденциальности и вероятность списания денег с вашего счета. При этом, получив персональные данные или деньги пользователя, приложение может просто исчезнуть. Так, 10 из 56 приложений к моменту публикации исчезли из магазинов. Во время исследования эксперты успели установить, что у шести из этих десяти приложений наблюдалось несоответствие IP-логина реальному.
При проверке приложений специалисты анализировали исходящий трафик с помощью специализированного ПО и отслеживали, куда этот трафик направлялся. Особый интерес был уделен запросам приложения во время процедуры авторизации. Так, 60% приложений на этом этапе отправляли запросы в другие страны - большинство уходило на турецкие серверы. Среди приложений с турецкими корнями - «Настоящие Гости ВК», «Мои гости – Активность на странице Вк», «Мои поклонники ВК», «Search on Android for Twitter», «MyTopFans for Twitter».
Руководитель Центра цифровой экспертизы Роскачества Антон Куканов объясняет, что случается, если стороннее приложение проводит авторизацию не напрямую через сервер социальной сети, а через свой собственный сервер. «Представьте, вам надо открыть дверь в свою квартиру. В одном случае вы сами достаете ключи из своего кармана и вставляете их в скважину, открывая дверь. В другом – вы даете ключи незнакомцу и тот открывает дверь по вашей просьбе. Но вы не знаете, что этот незнакомец сделает до того, как открыть дверь. Возможно, он сделает слепок ключей и использует их в последствии в своих целях».
Условно бесплатными оказались 54 из 56 приложений. В «бесплатных» приложениях есть реклама, именно она позволяет их владельцам монетизировать свою деятельность. Реклама либо не отключается совсем, либо отключается за деньги. В приложениях «Поиск скрытых друзей для ВК – Сыщик для Вконтакте» и «Кто смотрел мои фото ВК?» отмечены показы полноразмерных баннеров, на которые легко нажать случайно, что чревато переходом на фишинговый или иной вредоносный сайт, так как в выборе рекламодателей разработчики не слишком разборчивы.
В двух приложениях с платной подпиской она неочевидна: пользователю лишь один раз демонстрируется окно с оформлением и не говорится о будущих тратах. Это потенциально чревато списанием денежных средств, которое станет сюрпризом для пользователя. Избыточные разрешения – классическая уязвимость Android-устройств, где приложение может получать важный доступ без уведомления пользователей. Откровенно шпионских программ в ходе исследования обнаружено не было, но следует обратить внимание на приложения, которые получают доступы к камере, хранилищу и поиску других аккаунтов на устройстве - это потенциально шпионский функционал («ВК гости», «Мои гости – Активность на странице Вк», «Настоящие Гости ВК» и «Гости и Статистика из Вконтакте»). Хотя эти доступы и обусловлены логикой работы приложений, стоит учитывать, что ни одно из них - не от официального разработчика. Значит, необходимо понимать, что вы находитесь в потенциально небезопасной среде, и запрос каждого нового доступа рассматривать с повышенным вниманием.
Если внимательно прочитать описание приложений, почти везде упоминается, что они не дают стопроцентной гарантии того, что укажут гостей страницы, а лишь анализируют открытую информацию, которую передают серверы «ВКонтакте» через API (программный интерфейс приложения).
Руководитель Центра цифровой экспертизы Роскачества Антон Куканов: «Главный потенциальный риск – передача данных своей учетной записи на сторонний сервер. Это чревато потерей аккаунта и всего, что в нем размещено (персональные данные, переписки и их содержание). А если пользователь применяет ту же связку «логин/пароль» и на других ресурсах – под угрозой оказываются все сервисы сразу. Помните, что, авторизовываясь в неофициальных приложениях (речь не идет о входе «с помощью или через соцсеть»), вы сознательно передаете данные своей учетной записи сторонним лицам, гарантий добросовестности которых нет. Роскачество рекомендует: не устанавливайте такие приложения, а используйте только официальные мобильные клиенты».