Roskatchestvo ha testato le app ospiti di vkontakte

Gli esperti di Roskatchestvo hanno scoperto che le applicazioni di terze parti possono essere utilizzate per scoprire chi ha visitato la pagina VKontakte di un utente. E anche quanto siano pericolose le applicazioni di questo tipo e quale sia la minaccia per gli utenti che le installano. Di tutte le 56 applicazioni di questo tipo studiate 40 su Android e 16 su iOS nessuna ha superato con successo il test. CONCLUSIONE: le app della categoria “I miei ospiti VK” sono fuorvianti nelle loro funzionalità di base dichiarate.

L’amministrazione del social network “VKontakte” chiarisce: è impossibile conoscere gli “ospiti della pagina. Tali applicazioni o estensioni del browser possono rappresentare un rischio per l’account e i dati personali dell’utente”. Gli aggressori possono utilizzare tali servizi per il phishing. Si consiglia di astenersi dall’uso di tali applicazioni ed estensioni. Non mostrano risultati reali”, ha dichiarato l’ufficio stampa di VKontakte. Questo non fa parte dell’architettura del servizio e le applicazioni che affermano di avere questa funzionalità falsificano i risultati. Ma centinaia di migliaia di utenti installano comunque tali servizi.

Molte delle app esaminate dal Centro di competenza digitale Roskatchestvo promettono di “catturare gli ospiti” non solo sulle pagine di VKontakte, ma anche su Instagram, Twitter e Facebook. Ma anche lì le loro promesse si sono rivelate vane. Abbiamo eseguito lo stesso esperimento con ogni app: qualcun altro ha effettuato l’accesso all’account di prova e ha trascorso una certa quantità di tempo su di esso. Il 100% delle applicazioni non è riuscito a identificare e mostrare l’account da cui è stato effettuato l’accesso alla pagina di test.

I principali pericoli di tali applicazioni sono la mancanza di garanzie di privacy e la probabilità che il vostro conto venga addebitato. Nel frattempo, dopo aver ottenuto i dati personali o il denaro dell’utente, l’app potrebbe semplicemente scomparire. Al momento della pubblicazione, 10 delle 56 app erano scomparse dai negozi. Durante lo studio, gli esperti hanno scoperto che sei app su dieci presentavano errori di corrispondenza tra IP e login.

Durante il test delle app, gli esperti hanno analizzato il traffico in uscita con un software specializzato e hanno monitorato la destinazione del traffico. Particolare attenzione è stata prestata alle richieste dell’app durante la procedura di autorizzazione. Quindi, il 60% delle applicazioni in questa fase ha inviato richieste ad altri Paesi, la maggior parte delle quali ai server turchi. Tra le applicazioni con radici turche ci sono “Real VK Guests”, “My Guests – Activity on VK page”, “My VK fans”, “Search on Android for Twitter”, “MyTopFans for Twitter”.

Anton Kukanov, responsabile del Centro di competenza digitale di Roskatchestvo, spiega cosa succede quando un’app di terze parti non si autentica direttamente attraverso il server del social network ma attraverso il proprio server. “Immaginate di dover aprire la porta del vostro appartamento. In un caso, per aprire la porta si tirano fuori le chiavi dalla tasca e si inseriscono nella toppa. In un altro caso, si consegnano le chiavi a un estraneo e lui apre la porta su richiesta. Ma non si sa cosa farà questo sconosciuto prima di aprire la porta. Forse farà uno stampo delle chiavi e le userà in seguito per i suoi scopi.

Cinquantaquattro delle 56 app sono state ritenute gratuite. Le app “gratuite” hanno la pubblicità, che permette ai proprietari di monetizzare le loro attività. Gli annunci non vengono disattivati o vengono disattivati a pagamento. Le applicazioni “Ricerca di amici nascosti per VKontakte” e “Chi ha guardato le mie foto su VKontakte” sono state sviluppate per essere utilizzate?”Sono stati visualizzati banner a grandezza naturale, che possono essere facilmente cliccati per sbaglio e possono portare a contenuti di phishing o altri contenuti dannosi, poiché gli sviluppatori non sono troppo esigenti nella scelta degli inserzionisti.

In due applicazioni con abbonamento a pagamento non è evidente: all’utente viene mostrata solo una volta una finestra con il modulo e non gli vengono comunicate le spese future. Potenzialmente gravati da spese di addebito che sorprenderanno l’utente.

Le autorizzazioni eccessive sono una classica vulnerabilità dei dispositivi Android, dove un’app può ottenere un accesso importante senza avvisare gli utenti. Durante lo studio non sono stati rilevati spyware evidenti, ma occorre prestare attenzione alle applicazioni che accedono alla fotocamera, alla memoria e alla ricerca di altri account sul dispositivo: si tratta di una potenziale funzionalità di spionaggio “Ospiti VK”, “I miei ospiti – Attività sulla pagina VK”, “Ospiti VK reali” e “Ospiti e statistiche da Vkontakte” . Sebbene questi accessi siano dovuti alla logica dell’applicazione, è bene tenere presente che nessuno di essi proviene da uno sviluppatore ufficiale. Quindi, siate consapevoli di trovarvi in un ambiente potenzialmente insicuro e considerate ogni nuova richiesta di accesso con maggiore attenzione.

Se si leggono attentamente le descrizioni delle applicazioni, quasi ovunque viene detto che non garantiscono al cento per cento l’identificazione degli ospiti della pagina, ma analizzano solo le informazioni aperte trasmesse dai server di VKontakte attraverso un’API application programming interface .

Il responsabile del Centro di competenza digitale Roskachevo Anton Kukanov: “Il principale rischio potenziale è il trasferimento dei dati del vostro account a un server di terze parti. Potreste perdere il vostro account e tutto ciò che contiene dati personali, corrispondenza e contenuti . E se un utente utilizza la stessa combinazione di login/password su altre risorse, tutti i servizi sono a rischio contemporaneamente. Ricordate che accedendo a un’applicazione non ufficiale non “con o attraverso un social network” state deliberatamente condividendo i dati del vostro account con un estraneo e non c’è alcuna garanzia della loro integrità. Roskachevo raccomanda di non installare tali applicazioni e di utilizzare solo i client mobili ufficiali”