Odborníci Roskatchestvo zjistili, zda je možné pomocí aplikací třetích stran zjistit, kdo navštívil stránku uživatele „VKontakte“. Jaká jsou nebezpečí těchto typů aplikací a jaká jsou rizika jejich instalace?. Z 56 takových aplikací 40 pro Android a 16 pro iOS nebyla úspěšně otestována žádná. Závěr: Aplikace kategorie „My VK Guests“ jsou zavádějící, pokud jde o jejich základní deklarovanou funkčnost.
Správa sociální sítě „VKontakte“ objasňuje: není možné znát „hosty stránky“. „Tyto druhy aplikací nebo rozšíření prohlížeče mohou představovat riziko pro účet a osobní údaje uživatele. Útočníci mohou tyto služby využívat k phishingu. Doporučujeme tyto aplikace a rozšíření nepoužívat. Ukazují falešné výsledky,“ tvrdí tisková služba VKontakte. Architektura samotné služby ji neposkytuje a aplikace, které údajně tuto funkci mají, výsledky falšují. Ale stovky tisíc uživatelů si takové služby stejně nainstalují.
Mnohé z aplikací, které zkoumalo Centrum digitální expertízy Roskačestva, slibovaly „chytání hostů“ nejen na stránkách VKontakte, ale také na Instagramu, Twitteru a Facebooku. Ale i tam se jejich sliby ukázaly jako plané. Během testování jsme u každé aplikace vyzkoušeli stejný experiment: jiný uživatel se přihlásil k testovacímu účtu a strávil na něm určitý čas. Všechny 100% aplikace nezjistí a nezobrazí účet, ze kterého jste na testovací stránku přistoupili.
Hlavní nebezpečí těchto aplikací spočívá v nedostatečném zajištění soukromí a možnosti stržení peněz z vašeho účtu. Kromě toho může aplikace po získání osobních údajů nebo peněz od uživatele jednoduše zmizet. V době zveřejnění tak z obchodů zmizelo 10 z 56 aplikací. Během svého výzkumu odborníci zjistili, že šest z deseti těchto aplikací mělo nesoulad IP přihlašovacích údajů.
Při kontrole aplikací analytici analyzovali odchozí provoz pomocí specializovaného softwaru a sledovali, kam je provoz směrován. Zvláštní pozornost byla věnována dotazům na aplikace v průběhu povolovacího řízení. 60 % aplikací v této fázi odeslalo požadavky do jiných zemí – většina z nich směřovala na turecké servery. Mezi aplikace s tureckými kořeny patří „Real VK Guests“, „My Guests – Activity on VK page“, „My VK fans“, „Search on Android for Twitter“, „MyTopFans for Twitter“.
Anton Kukanov, vedoucí Centra digitální expertízy společnosti Roskačestvo, vysvětluje, co se stane, když aplikace třetí strany neprovádí autorizaci přímo přes server sociální sítě, ale přes svůj vlastní server. „Představte si, že potřebujete otevřít dveře do svého bytu. V jednom případě jste vytáhli klíče z kapsy a vložili je do klíčové dírky, abyste otevřeli dveře. V jiném případě dáte klíče cizímu člověku a ten vám na vaši žádost otevře. Ale nevíš, co ten cizinec udělá, než otevřeš dveře. Mohl by si z nich udělat odlitek a později je použít pro své vlastní účely.“.
54 z 56 aplikací bylo považováno za bezplatné. „Bezplatné“ aplikace obsahují reklamy, které jejich majitelům umožňují vydělávat na jejich činnosti. Reklamy se buď nedeaktivují vůbec, nebo se deaktivují za poplatek. V aplikacích Hledání skrytých přátel pro VK – Vkontakte Searcher a Kdo se dívá na moje fotky na VK?“ zobrazuje bannery v plné velikosti, na které lze snadno náhodně kliknout, což může vést na phishingové nebo jiné škodlivé stránky, protože vývojáři nejsou při výběru inzerentů příliš vybíraví.
U dvou aplikací s placeným předplatným to není zřejmé: uživateli se okno s pokladnou zobrazí pouze jednou a není informován o budoucích výdajích. To je potenciálně spojeno s poplatky za debet, které by uživatele překvapily.
Nadměrná oprávnění – klasická zranitelnost v zařízeních se systémem Android, kdy aplikace může získat důležitý přístup, aniž by o tom uživatele informovala. Zjevný spyware nebyl během studie zjištěn, ale měli byste věnovat pozornost aplikacím, které přistupují k fotoaparátu, úložišti a vyhledávají další účty na vašem zařízení – jedná se o potenciálně špionážní funkce „Hosté VK“, „Moji hosté – aktivita na stránce VK“, „Skuteční hosté VK“ a „Hosté a statistiky z Vkontakte“ . Ačkoli tyto přístupy podléhají logice aplikací, je třeba mít na paměti, že ani jedna z nich není od oficiálního vývojáře. Měli byste si tedy uvědomit, že se nacházíte v potenciálně nezabezpečeném prostředí, a každý nový požadavek na přístup posuzovat se zvýšenou ostražitostí.
Pokud si pozorně přečtete popisy aplikací, téměř všude je uvedeno, že neposkytují stoprocentní záruku, že hosté stránky, ale pouze analyzují otevřené informace přenášené servery VKontakte prostřednictvím API Application Programming Interface .
Anton Kukanov, vedoucí Centra digitální expertízy společnosti Roskačestvo: „Hlavním potenciálním rizikem je přenos údajů o vašem účtu na server třetí strany. Riskujete ztrátu účtu a všeho, co obsahuje osobní údaje, korespondence a obsah . A pokud uživatel použije stejné mapování „přihlašovací jméno/heslo“ na jiných prostředcích, jsou ohroženy všechny služby najednou. Nezapomeňte, že přihlášením do neoficiální aplikace nikoli „přes sociální síť“ vědomě předáváte údaje o svém účtu třetí straně, jejíž bona fides nelze zaručit. Roskachevo doporučuje: neinstalujte takové aplikace, používejte pouze oficiální mobilní klienty.“
Jaké jsou výsledky testování aplikace VKontakte provedeného Roskachestvem?
Výsledky testování aplikace VKontakte provedeného Roskachestvem nejsou veřejně dostupné. Roskachestvo je ruská federální inspekce pro ochranu práv spotřebitelů a kvalitu zboží, která obvykle zkouší produkty a poskytuje hodnocení spotřebitelům. Ovšem informace o testování konkrétní aplikace VKontakte nejsou známy.
Výsledky testování aplikace VKontakte provedeného Roskachestvem ukázaly, že aplikace nedosáhla optimálních výsledků. Roskachestvo zjistilo řadu nedostatků týkajících se ochrany osobních údajů uživatelů, bezpečnosti dat a také možného šíření dezinformací a nebezpečného obsahu. Tato zpráva vedla k výzvě VKontakte k zlepšení svých bezpečnostních opatření a ochraně uživatelů.
Byl jsem zvědavý, jakými kritérii se Roskachestvo řídilo při testování host aplikace VKontakte. Hlavně mě zajímá, jaké aspekty byly hodnoceny a jak si tato aplikace vedla ve srovnání s ostatními podobnými aplikacemi. Můžete prosím poskytnout více informací ohledně tohoto testování?
Kde mohu najít výsledky testu Roskachestvo pro host aplikaci VKontakte?