Роскачество: приложения «Мои гости VK» не работают и могут красть данные

Центр цифровой экспертизы Роскачества выяснил, можно ли с помощью сторонних приложений узнать, кто посещал страницу пользователя «ВКонтакте». А также насколько опасны такие приложения и чем грозит пользователям их установка.

   
   

100% исследованных приложений не работает

Из 56 изученных приложений (40 на платформе Android и 16 на iOS) ни одно не прошло тестирование успешно. Вывод: приложения категории «Мои гости в VK» вводят в заблуждение по поводу основной заявленной функциональности.

Администрация «ВКонтакте» разъясняет: приложений, которые могут показать вам данные о гостях не существует. Это не предусмотрено самой архитектурой сервиса, а приложения, которые якобы имеют такой функционал, подделывают результаты.

Это подтверждается и экспериментом: на страницу тестового аккаунта заходил другой пользователь и проводил на ней определенное время. 100% приложений не смогли определить и показать аккаунт, с которого заходили на тестовую страницу. Многие исследованные приложения обещали «поймать гостей» не только на страницах «ВКонтакте», но и в Instagram, Twitter, Facebook. Однако и там их обещания оказались пустыми.

Если внимательно прочитать описание приложений, почти везде упоминается, что они не дают стопроцентной гарантии того, что укажут гостей страницы, а лишь анализируют открытую информацию, которую передают серверы «ВКонтакте» через API (программный интерфейс приложения).

Условно бесплатный сыр

Условно бесплатными оказались 54 из 56 приложений. В «бесплатных» приложениях есть реклама, именно она позволяет их владельцам монетизировать свою деятельность. Реклама либо не отключается совсем, либо отключается за деньги. В приложениях «Поиск скрытых друзей для ВК – Сыщик для Вконтакте» и «Кто смотрел мои фото ВК?» отмечены показы полноразмерных баннеров, на которые легко нажать случайно, что чревато переходом на фишинговый или иной вредоносный сайт, так как в выборе рекламодателей разработчики не слишком разборчивы.

В двух приложениях с платной подпиской она неочевидна: пользователю лишь один раз демонстрируется окно с оформлением и не говорится о будущих тратах. Это потенциально чревато списанием денежных средств, которое станет сюрпризом для пользователя.

   
   
Фото: Роскачество

Могут красть данные

Главная опасность таких приложенний отсутствие гарантий конфиденциальности и вероятность списания денег. При этом, получив персональные данные или деньги пользователя, приложение может просто исчезнуть. 10 из 56 приложений к моменту публикации исчезли из магазинов. У шести из этих десяти приложений наблюдалось несоответствие IP-логина реальному.

При проверке приложений специалисты анализировали исходящий трафик с помощью специализированного ПО и отслеживали, куда этот трафик направлялся. Особый интерес был уделен запросам приложения во время авторизации. 60% приложений на этом этапе отправляли запросы в другие страны - большинство уходило на турецкие серверы. Среди приложений с турецкими корнями - «Настоящие Гости ВК», «Мои гости – Активность на странице Вк», «Мои поклонники ВК», «Search on Android for Twitter», «MyTopFans for Twitter».

Фото: Роскачество

Руководитель Центра цифровой экспертизы Роскачества Антон Куканов объясняет, что случается, если стороннее приложение проводит авторизацию не напрямую через сервер социальной сети, а через свой собственный сервер:

- «Представьте, вам надо открыть дверь в квартиру. В одном случае вы сами достаете ключи из своего кармана и вставляете их в скважину, открывая дверь. В другом – даете ключи незнакомцу и тот открывает дверь по вашей просьбе. Но вы не знаете, что этот незнакомец сделает до того, как открыть дверь. Возможно, он сделает слепок ключей и в последствии использует их в своих целях.

Главный потенциальный риск – передача данных своей учетной записи на сторонний сервер. Это чревато потерей аккаунта, персональных данных, переписки и т.д. А если пользователь применяет ту же связку «логин/пароль» и на других ресурсах – под угрозой оказываются все сервисы сразу».

Избыточные разрешения – классическая уязвимость Android-устройств, где приложение может получать важный доступ без уведомления пользователей. Откровенно шпионских программ эксперты не обнаружили, но следует обратить внимание на приложения, которые получают доступы к камере, хранилищу и поиску других аккаунтов на устройстве - это потенциально шпионский функционал. Такой доступ запрашивали «ВК гости», «Мои гости – Активность на странице Вк», «Настоящие Гости ВК» и «Гости и Статистика из Вконтакте».

Хотя эти доступы и обусловлены логикой работы приложений, стоит учитывать, что ни одно из них - не от официального разработчика. Поэтому Роскачество рекомендует понимать, что вы находитесь в потенциально небезопасной среде, и запрос каждого нового доступа рассматривать с повышенным вниманием.

Роскачество рекомендует: не устанавливайте такие приложения, а используйте только официальные мобильные клиенты».