Strokovnjaki Roskatchestvo so ugotovili, ali je mogoče z aplikacijami tretjih oseb ugotoviti, kdo je obiskal uporabnikovo stran VKontakte. Kako nevarne so tovrstne aplikacije in kakšna je nevarnost za uporabnike, ki jih namestijo. Od vseh 56 preučenih tovrstnih aplikacij 40 za Android in 16 za iOS ni bila nobena uspešno preizkušena. Zaključek: aplikacije v kategoriji Moji gostje VK so zavajajoče v svojih osnovnih zahtevanih funkcijah.
Uprava družbenega omrežja VKontakte pojasnjuje: ne morete poznati “gostov strani”. “Takšne aplikacije ali razširitve brskalnika lahko ogrozijo uporabniški račun in osebne podatke. Napadalci lahko takšne storitve uporabljajo za lažno. Uporabo takšnih aplikacij in razširitev odsvetujemo. Ne prikazujejo pravih rezultatov,” so sporočili iz tiskovnega urada družbe VKontakte. To ni del arhitekture storitve, zato aplikacije, ki trdijo, da imajo takšno funkcionalnost, ponarejajo rezultate. Na stotisoče uporabnikov pa vseeno namesti takšne storitve.
Številne aplikacije, ki jih je preiskoval Center za digitalno ekspertizo Roskatchestvo, so obljubljale “lovljenje gostov” ne le na straneh VKontakte, temveč tudi na Instagramu, Twitterju in Facebooku. Vendar so se tudi tam njihove obljube izkazale za prazne. Med testiranjem je bil z vsako aplikacijo izveden enak poskus: drug uporabnik je obiskal stran s testnim računom in na njej preživel določen čas. Vseh 100 % aplikacij ni prepoznalo in prikazalo računa, s katerega so dostopale do testne strani.
Glavne nevarnosti takšnih aplikacij – pomanjkanje jamstev za zasebnost in verjetnost obremenitve vašega računa. Ko uporabnik pridobi osebne podatke ali denar, lahko aplikacija preprosto izgine. Tako je do objave iz trgovin izginilo 10 od 56 aplikacij. Strokovnjaki so med raziskavo ugotovili, da je bilo v šestih od teh desetih aplikacij neskladje med prijavami IP in resničnimi prijavami.
V postopku preverjanja vlog so strokovnjaki s specializirano programsko opremo analizirali odhodni promet in spremljali, kam se promet usmerja. Posebno pozornost smo namenili poizvedbam aplikacij med postopkom avtentikacije. Tako je 60 % aplikacij v tej fazi pošiljalo zahtevke v druge države – večina jih je šla na turške strežnike. Med aplikacijami s turškimi koreninami so “Real VK Guests”, “My Guests – VK Page Activity”, “My VK Fans”, “Search on Android for Twitter”, “MyTopFans for Twitter”.
Anton Kukanov, vodja digitalnega strokovnega centra družbe Roskatchestvo, pojasnjuje, kaj se zgodi, če se aplikacija tretje osebe ne prijavi neposredno prek strežnika družbenega omrežja, temveč prek lastnega strežnika. “Predstavljajte si, da morate odpreti vrata svojega stanovanja. V enem primeru vzamete ključe iz žepa in jih vstavite v ključavnico, da odprete vrata. V drugem primeru daš ključe neznancu in ta ti na tvojo zahtevo odpre vrata. Vendar ne veste, kaj bo ta neznanec storil, preden odpre vrata. Morda bo naredil odlitek ključev in jih pozneje uporabil za svoje namene.”.
Štiriinpetdeset od 56 aplikacij je bilo pogojno brezplačnih. “Brezplačne” aplikacije imajo oglase, ki njihovim lastnikom omogočajo zaslužek iz njihovih dejavnosti. Oglasi sploh niso izklopljeni ali pa so izklopljeni za plačilo. V aplikacijah “Iskanje skritih prijateljev za VKontakte – Iskalnik za VKontakte” in “Kdo je gledal moje fotografije VK?” prikazuje oglasne pasice v polni velikosti, na katere zlahka kliknete po pomoti, kar lahko pripelje do goljufivega ali drugega zlonamernega spletnega mesta, saj razvijalci niso preveč izbirčni pri izbiri oglaševalcev.
V dveh aplikacijah s plačljivimi naročninami to ni očitno: uporabniku se okno za oblikovanje prikaže le enkrat in ni obveščen o prihodnji porabi. To lahko povzroči zaračunavanje, ki bo za uporabnika presenečenje.
Prevelike odobritve so klasična ranljivost v napravah s sistemom Android, kjer lahko aplikacija pridobi pomemben dostop, ne da bi o tem obvestila uporabnike. V raziskavi ni bilo odkritih očitnih vohunskih programov, vendar je treba pozornost nameniti aplikacijam, ki dostopajo do kamere, shrambe in iščejo druge račune v napravi – to je potencialna funkcija vohunskih programov “Gostje VK”, “Moji gostje – dejavnost na strani VK”, “Pravi gostje VK” in “Gostje in statistika iz Vkontakte” . Čeprav so ti dostopi posledica logike aplikacij, je treba upoštevati, da nobena od njih ni od uradnega razvijalca. Zato se morate zavedati, da se nahajate v potencialno negotovem okolju, in vsako novo zahtevo za dostop obravnavati s povečano pozornostjo.
Če pozorno preberete opise aplikacij, je skoraj povsod omenjeno, da ne dajejo stoodstotnega jamstva, da bodo gostje strani najdeni, temveč le analizirajo javne informacije, ki jih strežniki VKontakte posredujejo prek vmesnika API Application Programming Interface .
Anton Kukanov, vodja digitalnega strokovnega centra družbe Roskatchestvo: “Glavno potencialno tveganje je prenos podatkov o njihovem računu na strežnik tretje osebe. S tem tvegate izgubo računa in vsega v njem osebnih podatkov, korespondence in vsebine . Če uporabnik uporablja isto kombinacijo uporabniškega imena in gesla v drugih virih, so ogrožene vse storitve hkrati. Ne pozabite, da z vpisom v neuradne aplikacije ne govorimo o “z družabnimi omrežji ali prek njih” podatke o svojem računu zavestno posredujete tretjim osebam, za njihovo celovitost pa ni nobenega jamstva. Roskatchestvo priporoča: ne nameščajte takšnih aplikacij in uporabljajte le uradne mobilne odjemalce.”
Ali lahko aplikacija vkontakte prenese teste Roskachestva?