„Roskatchestvo” ekspertai išsiaiškino, ar trečiųjų šalių programėlėmis galima sužinoti, kas lankėsi vartotojo „VKontakte” puslapyje. Taip pat apie tai, kiek pavojingos tokios programėlės ir kokie pavojai gresia jas įsidiegusiems naudotojams. Iš visų 56 tirtų tokio tipo programėlių 40 „Android” ir 16 „iOS” nė viena nebuvo sėkmingai išbandyta. Išvada: kategorijos „Mano VK svečiai” programos klaidina savo pagrindinėmis deklaruojamomis funkcijomis.
Socialinio tinklo „VKontakte” administracija paaiškina: neįmanoma žinoti „puslapio svečių”. „Tokios programėlės ar naršyklės plėtiniai gali kelti pavojų naudotojo paskyrai ir asmeniniams duomenims. Kibernetiniai nusikaltėliai gali naudoti tokias paslaugas sukčiavimui. Patariame nenaudoti tokių programų ir plėtinių. Jie rodo neteisingus rezultatus”, – teigė „VKontakte” spaudos tarnyba. To nenumato pati paslaugų architektūra, o programos, kurios tariamai turi tokią funkciją, padirbinėja rezultatus. Tačiau šimtai tūkstančių naudotojų vis tiek įdiegia tokias paslaugas.
Daugelis „Roskatchestvo” skaitmeninės ekspertizės centro nagrinėtų programų žadėjo „gaudyti svečius” ne tik „VKontakte” puslapiuose, bet ir „Instagram”, „Twitter”, „Facebook”. Tačiau ir čia jų pažadai pasirodė esą tušti. Atliekant bandymus su kiekviena programėle buvo atliktas tas pats eksperimentas: kitas naudotojas prisijungė prie bandomosios paskyros ir praleido joje tam tikrą laiką. Visose 100 % programų nepavyko nustatyti ir parodyti paskyros, iš kurios buvo pasiektas bandomasis puslapis.
Pagrindiniai šių programų pavojai yra privatumo garantijų trūkumas ir tikimybė, kad iš jūsų sąskaitos bus nurašytos lėšos. Gavusi naudotojo asmeninius duomenis arba pinigus, programėlė gali tiesiog dingti. Iš tiesų, 10 iš 56 programėlių publikavimo metu buvo dingusios iš parduotuvių. Tyrimo metu ekspertams pavyko išsiaiškinti, kad šešiose iš šių dešimties programų nesutapo IP prisijungimo ir tikrojo prisijungimo duomenys.
Tikrindami programas, specialistai specialia programine įranga analizavo išeinantį duomenų srautą ir stebėjo, kur srautas keliauja. Ypatingas dėmesys buvo skiriamas programėlės užklausoms autentifikavimo proceso metu. Pavyzdžiui, 60 % šio etapo programėlių siuntė užklausas į kitas šalis – daugiausia į Turkijos serverius. Turkiškų šaknų turinčios programos yra šios: „Real VK Guests”, „My Guests – VK Page Activity”, „My VK Fans”, „Search on Android for Twitter”, „MyTopFans for Twitter”.
Antonas Kukanovas, „Roskatchestvo” Skaitmeninės ekspertizės centro vadovas, paaiškina, kas nutinka, kai trečiosios šalies programėlė autorizaciją atlieka ne tiesiogiai per socialinio tinklo serverį, o per savo serverį. „Įsivaizduokite, kad jums reikia atidaryti savo buto duris. Vienu atveju, norėdami atidaryti duris, iš kišenės išsitraukiate raktus ir įkišate juos į rakto skylutę. Kitoje vietoje atiduodate raktus nepažįstamam žmogui ir jis jūsų prašymu atidaro duris. Tačiau nežinote, ką šis nepažįstamasis padarys, kol dar neatidarėte durų. Galbūt jis pasigamino raktų formą ir panaudojo ją savo reikmėms.
Penkiasdešimt keturios iš 56 programėlių yra sąlygiškai nemokamos. „Nemokamose” programėlėse yra reklamos, kuri leidžia jų savininkams uždirbti iš savo veiklos. Skelbimai buvo arba visai neišjungti, arba išjungti už tam tikrą mokestį. Programėlėse „Ieškoti paslėptų draugų VK – „Vkontakte” ieškiklis” ir „Kas stebėjo mano VK nuotraukas?” rodomos viso dydžio reklaminės juostos, ant kurių galima lengvai paspausti netyčia, o tai gali nuvesti į sukčiavimo ar kitą kenkėjišką svetainę, nes kūrėjai nėra labai išrankūs rinkdamiesi reklamuotojus.
Dviejose programėlėse su mokamomis prenumeratomis tai nėra akivaizdu: naudotojui kasos langas rodomas tik vieną kartą ir jam nepranešama apie būsimas išlaidas. Tai gali būti susiję su debeto mokesčiais, kurie naudotojui bus netikėti.
Per didelis leidimų skaičius – klasikinė „Android” įrenginio pažeidžiamoji vieta, kai programėlė gali gauti svarbią prieigą nepranešusi naudotojams. Atliekant tyrimą nebuvo aptikta jokių aiškių šnipinėjimo programų, tačiau reikėtų atkreipti dėmesį į programas, kurios prieina prie kameros, saugyklos ir ieško kitų paskyrų įrenginyje – tai yra potenciali šnipinėjimo funkcija „VK svečiai”, „Mano svečiai – veikla VK puslapyje”, „Tikrieji VK svečiai” ir „Svečiai ir statistika iš „Vkontakte” . Nors šias prieigas lemia programos logika, verta nepamiršti, kad nė viena iš jų nėra oficialaus kūrėjo. Taigi turite žinoti, kad esate potencialiai nesaugioje aplinkoje, ir kiekvieną naują prieigos prašymą vertinti atidžiau.
Jei atidžiai perskaitysite programų aprašymus, beveik visada bus paminėta, kad jos šimtu procentų negarantuoja, kad puslapio svečiai bus identifikuoti, o tik analizuoja atvirus duomenis, kuriuos „VKontakte” serveriai perduoda per API taikomųjų programų sąsają .
Antonas Kukanovas, „Roskatchestvo” Skaitmeninės ekspertizės centro vadovas: „Pagrindinė galima rizika – jūsų paskyros duomenų perdavimas į trečiosios šalies serverį. Dėl to gali būti prarasta paskyra ir viskas, kas joje yra asmens duomenys, korespondencija ir turinys . Jei naudotojas tą patį naudotojo vardo ir slaptažodžio derinį naudoja kituose ištekliuose, iš karto kyla pavojus visoms paslaugoms. Atminkite, kad prisijungdami prie neoficialios programos ne „su socialiniu tinklu arba per socialinį tinklą” sąmoningai dalijatės savo paskyros duomenimis su trečiąja šalimi ir nėra jokios garantijos, kad jie bus sąžiningi. „Roskachevo” rekomenduoja: nediegti tokių programų ir naudoti tik oficialius mobiliuosius klientus”
Koks buvo Roskachestvo išvadų rezultatas apie svečias vkontakte apps?
Ar yra kokios nors rekomendacijos ar patarimai, kuriuos Roskachestvo galėtų pateikti apie svečias vkontakte apps?