Roskachestvo test gast vkontakte apps

Deskundigen van Roskatchestvo hebben uitgezocht of toepassingen van derden kunnen worden gebruikt om te achterhalen wie de VKontakte-pagina van een gebruiker heeft bezocht. En ook hoe gevaarlijk dit soort apps zijn en welke risico’s gebruikers lopen als ze ze installeren. Van alle 56 onderzochte apps van dit type 40 op Android en 16 op iOS is er geen enkele met succes getest. Conclusie: Mijn VK Gasten categorie apps zijn misleidend in hun basis geclaimde functionaliteit.

VKontakte administratie verduidelijkt: het is onmogelijk om de “gasten van de pagina” te kennen. “Dergelijke toepassingen of browserextensies kunnen een bedreiging vormen voor het account en de persoonlijke gegevens van een gebruiker”. Cybercriminelen kunnen dergelijke diensten gebruiken voor phishing. Wij raden u aan dergelijke toepassingen en extensies niet te gebruiken. Volgens de persdienst van VKontakte zijn de resultaten niet waar. De architectuur van de dienst voorziet er niet in, en toepassingen die beweren over dergelijke functionaliteit te beschikken, vervalsen de resultaten. Maar honderdduizenden gebruikers installeren nog steeds dergelijke diensten.

Veel van de door het Roskatchestvo Digital Expertise Center onderzochte toepassingen beloofden niet alleen gasten te “vangen” op VKontakte-pagina’s, maar ook op Instagram, Twitter en Facebook. Maar zelfs daar waren hun beloften leeg. We deden hetzelfde experiment met elke app: een andere gebruiker bezocht de pagina met de testaccount en bracht daar enige tijd door. Alle 100% apps slaagden er niet in de account van waaruit zij de testpagina benaderden te identificeren en te tonen.

De grootste gevaren van dergelijke apps zijn het gebrek aan privacygaranties en de kans dat er geld van uw rekening wordt afgeschreven. En nadat ze de persoonlijke gegevens of het geld van een gebruiker hebben bemachtigd, kan de app gewoon verdwijnen. Zo waren 10 van de 56 apps op het moment van publicatie uit de winkels verdwenen. Tijdens het onderzoek slaagden de deskundigen erin te ontdekken dat zes van de tien toepassingen niet hetzelfde IP-adres hadden als het echte.

Bij het inspecteren van apps analyseerden deskundigen het uitgaande verkeer met gespecialiseerde software en volgden waar dat verkeer naartoe ging. Er is bijzondere aandacht besteed aan de vragen van de app tijdens de vergunningsprocedure. Dus, 60% van de aanvragen in dit stadium stuurde verzoeken naar andere landen – de meeste gingen naar Turkse servers. Onder de apps met Turkse roots zijn Echte VK Gasten, Mijn Gasten – VK Pagina Activiteit, Mijn VK Fans, Zoeken op Android voor Twitter, MyTopFans voor Twitter.

Anton Kukanov, hoofd van Roskatchestvo’s Center for Digital Expertise, legt uit wat er gebeurt als een app van derden zich niet rechtstreeks via de server van een sociaal netwerk authentiseert, maar via zijn eigen server. “Stel je voor dat je de deur van je flat moet openen. In één geval haal je zelf de sleutels uit je zak en steekt ze in het putje, waardoor de deur opengaat… Een andere is wanneer je je sleutels aan een vreemde geeft en hij de deur op jouw verzoek opent… Maar je weet niet wat die vreemdeling zal doen voordat je de deur opent… Hij zou een mal van de sleutels kunnen maken en ze later voor zijn eigen doeleinden gebruiken.”.

Vierenvijftig van de 56 apps zijn voorwaardelijk gratis. De “gratis” apps hebben reclame, waardoor hun eigenaars geld kunnen verdienen. Advertenties worden helemaal niet of tegen betaling uitgeschakeld. De apps Zoeken naar verborgen vrienden voor VKontakte en Wie kijkt er naar mijn VKontakte foto’s??”Er werden displays van banners op ware grootte opgemerkt waarop gemakkelijk per ongeluk kan worden geklikt, wat mogelijk leidt tot een phishing- of andere kwaadaardige site, aangezien de ontwikkelaars niet al te kieskeurig zijn in hun keuze van adverteerders”.

In twee apps met betaalde abonnementen is het niet duidelijk: de gebruiker krijgt het afrekenvenster maar één keer te zien en wordt niet geïnformeerd over toekomstige uitgaven. Dit zou kunnen leiden tot een geldboete, die voor de gebruiker als een verrassing zou komen.

Buitensporige machtigingen zijn een klassieke kwetsbaarheid in Android-toestellen, waar een app belangrijke toegang kan krijgen zonder de gebruikers op de hoogte te stellen. Tijdens het onderzoek werd geen openlijke spyware ontdekt, maar er moet aandacht worden besteed aan de toepassingen die toegang hebben tot de camera, opslag en zoeken naar andere accounts op het apparaat – dit is een potentiële spionagefunctionaliteit “VK-gasten”, “Mijn gasten – Activiteit op VK-pagina”, “Echte VK-gasten” en “Gasten en statistieken van Vkontakte” . Hoewel deze toegangen te wijten zijn aan de logica van de apps, is het goed te beseffen dat geen enkele ervan van een officiële ontwikkelaar afkomstig is. U moet zich er daarom van bewust zijn dat u zich in een potentieel onbetrouwbare omgeving bevindt en elk nieuw verzoek om toegang met extra aandacht behandelen.

Als u de beschrijvingen van de apps zorgvuldig leest, wordt bijna overal vermeld dat ze geen honderd procent garantie geven dat ze de gasten van de pagina zullen onthullen, maar alleen de openbare informatie analyseren die de servers van VKontakte via de API de programmeerinterface van de app doorgeven.

Hoofd van het Roskachevo Digital Expertise Centre Anton Kukanov: “Het belangrijkste potentiële risico is de overdracht van hun accountgegevens naar een server van een derde partij. Dit kan leiden tot het verlies van de rekening en alles wat deze bevat persoonlijke gegevens, correspondentie en hun inhoud . En als een gebruiker dezelfde gebruikersnaam/wachtwoord combinatie gebruikt op andere bronnen – zijn alle diensten tegelijk in gevaar. Vergeet niet dat wanneer u zich aanmeldt bij onofficiële toepassingen niet ‘via of sociale netwerken’ u bewust uw accountgegevens deelt met een derde partij, zonder garantie op betrouwbaarheid. Roskatchestvo adviseert: installeer zulke apps niet, en gebruik alleen officiële mobiele clients”