В Роскачестве провели исследование, посвященное сторонним приложениям для определения пользователей, которые заходили на страницу «ВКонтакте». Эксперты анализировали, какой риск несут в себе такие приложения, чем грозит их установка. Были изучены 56 приложений этого типа (40 на платформе Android и 16 на iOS). Ни одно из них не прошло тестирование. Эксперты пришли к основному выводу - приложения из серии «Мои гости в VK» вводят в заблуждение по поводу основной заявленной функциональности.
Представители соцсети пояснили, что «гостевых» приложений «ВКонтакте» нет, такая функция не предусмотрена архитектурой сервиса. Приложения, которые иногда используют пользователи, фальсифицируют результаты, одно многие продолжают их скачивать.
Исследование проводили специалисты Центра цифровой экспертизы Роскачества, изученные варианты обещали найти «гостей» и в Instagram, Twitter, Facebook. Все эти заявления оказались пустыми. Проводился специальный эксперимент, на страницу тестового аккаунта заходил другой пользователь и проводил на ней какое-то время. Абсолютно все объекты исследования не определили и не показали этот аккаунт.
По словам экспертов, главная опасность – нет гарантий конфиденциальности, возможны списания средств со счета. После получения данных или денег приложение может исчезнуть. Например, 10 из 56 приложений уже пропали из магазинов. У шести из них было несоответствие IP-логина реальному.
Во время проверки был проанализирован исходящий трафик, использовалось специализированное ПО. Был отслежен запрос приложения во время процедуры авторизации. По результатам теста, 60% вариантов на этом этапе отправляли запросы в другие страны. Например, турецкие корни имеют «Настоящие Гости ВК», «Мои гости – Активность на странице Вк», «Мои поклонники ВК», «Search on Android for Twitter», «MyTopFans for Twitter».
Глава Центра цифровой экспертизы Роскачества Антон Куканов рассказал, что может произойти, если стороннее приложение проводит авторизацию не напрямую через сервер социальной сети, а через свой собственный сервер.
«Представьте, вам надо открыть дверь в свою квартиру. В одном случае вы сами достаете ключи из своего кармана и вставляете их в скважину, открывая дверь. В другом – вы даете ключи незнакомцу и тот открывает дверь по вашей просьбе. Но вы не знаете, что этот незнакомец сделает до того, как открыть дверь. Возможно, он сделает слепок ключей и использует их в последствии в своих целях», - пояснил он.
В Роскачестве добавили, что условно бесплатными оказались 54 из 56. В таких «бесплатных» приложениях присутствует реклама, ее либо нельзя отключить, либо можно, но за деньги. В «Поиск скрытых друзей для ВК – Сыщик для Вконтакте» и «Кто смотрел мои фото ВК?» есть показы полноразмерных баннеров, можно попасть на вредоносный сайт.
Также в двух приложениях с платной подпиской она неочевидна. Человеку всего раз показывают окно с оформлением, не сообщая о будущих тратах.
Также отмечены избыточные разрешения – классическая уязвимость Android-устройств, где приложение может получать важный доступ без уведомления пользователей. Шпионских программ эксперты не обнаружили, но попросили обращаться внимание на приложения, которые получают доступы к камере, хранилищу и поиску других аккаунтов на устройстве - это потенциально шпионский функционал. Например, «ВК гости», «Мои гости – Активность на странице Вк», «Настоящие Гости ВК» и «Гости и Статистика из Вконтакте».
Практически во всех описаниях говорится, что приложения не дают стопроцентной гарантии того, что укажут гостей страницы, а только анализируют открытую информацию.
«Главный потенциальный риск – передача данных своей учетной записи на сторонний сервер. Это чревато потерей аккаунта и всего, что в нем размещено (персональные данные, переписки и их содержание). А если пользователь применяет ту же связку «логин/пароль» и на других ресурсах – под угрозой оказываются все сервисы сразу. Помните, что, авторизовываясь в неофициальных приложениях (речь не идет о входе «с помощью или через соцсеть»), вы сознательно передаете данные своей учетной записи сторонним лицам, гарантий добросовестности которых нет. Роскачество рекомендует: не устанавливайте такие приложения, а используйте только официальные мобильные клиенты», - добавил Антон Куканов.
