Роскачество: показывающие гостей ВК приложения врут

Центр цифровой экспертизы Роскачества выяснил, можно ли с помощью сторонних приложений узнать, кто посещал страницу пользователя «ВКонтакте». А также насколько опасны такие приложения и чем грозит пользователям их установка.

100% исследованных приложений не работает

Из 56 изученных приложений (40 на платформе Android и 16 на iOS) ни одно не прошло тестирование успешно. Вывод: приложения категории «Мои гости в VK» вводят в заблуждение по поводу основной заявленной функциональности.

Администрация «ВКонтакте» разъясняет: приложений, которые могут показать вам данные о гостях не существует. Это не предусмотрено самой архитектурой сервиса, а приложения, которые якобы имеют такой функционал, подделывают результаты.

Это подтверждается и экспериментом: на страницу тестового аккаунта заходил другой пользователь и проводил на ней определенное время. 100% приложений не смогли определить и показать аккаунт, с которого заходили на тестовую страницу. Многие исследованные приложения обещали «поймать гостей» не только на страницах «ВКонтакте», но и в Instagram, Twitter, Facebook. Однако и там их обещания оказались пустыми.

Если внимательно прочитать описание приложений, почти везде упоминается, что они не дают стопроцентной гарантии того, что укажут гостей страницы, а лишь анализируют открытую информацию, которую передают серверы «ВКонтакте» через API (программный интерфейс приложения).

Условно бесплатный сыр

Условно бесплатными оказались 54 из 56 приложений. В «бесплатных» приложениях есть реклама, именно она позволяет их владельцам монетизировать свою деятельность. Реклама либо не отключается совсем, либо отключается за деньги. В приложениях «Поиск скрытых друзей для ВК – Сыщик для Вконтакте» и «Кто смотрел мои фото ВК?» отмечены показы полноразмерных баннеров, на которые легко нажать случайно, что чревато переходом на фишинговый или иной вредоносный сайт, так как в выборе рекламодателей разработчики не слишком разборчивы.

В двух приложениях с платной подпиской она неочевидна: пользователю лишь один раз демонстрируется окно с оформлением и не говорится о будущих тратах. Это потенциально чревато списанием денежных средств, которое станет сюрпризом для пользователя.

Могут красть данные

Главная опасность таких приложенний отсутствие гарантий конфиденциальности и вероятность списания денег. При этом, получив персональные данные или деньги пользователя, приложение может просто исчезнуть. 10 из 56 приложений к моменту публикации исчезли из магазинов. У шести из этих десяти приложений наблюдалось несоответствие IP-логина реальному.

При проверке приложений специалисты анализировали исходящий трафик с помощью специализированного ПО и отслеживали, куда этот трафик направлялся. Особый интерес был уделен запросам приложения во время авторизации. 60% приложений на этом этапе отправляли запросы в другие страны - большинство уходило на турецкие серверы. Среди приложений с турецкими корнями - «Настоящие Гости ВК», «Мои гости – Активность на странице Вк», «Мои поклонники ВК», «Search on Android for Twitter», «MyTopFans for Twitter».

Руководитель Центра цифровой экспертизы Роскачества Антон Куканов объясняет, что случается, если стороннее приложение проводит авторизацию не напрямую через сервер социальной сети, а через свой собственный сервер:

- «Представьте, вам надо открыть дверь в квартиру. В одном случае вы сами достаете ключи из своего кармана и вставляете их в скважину, открывая дверь. В другом – даете ключи незнакомцу и тот открывает дверь по вашей просьбе. Но вы не знаете, что этот незнакомец сделает до того, как открыть дверь. Возможно, он сделает слепок ключей и в последствии использует их в своих целях.

Главный потенциальный риск – передача данных своей учетной записи на сторонний сервер. Это чревато потерей аккаунта, персональных данных, переписки и т.д. А если пользователь применяет ту же связку «логин/пароль» и на других ресурсах – под угрозой оказываются все сервисы сразу».

Избыточные разрешения – классическая уязвимость Android-устройств, где приложение может получать важный доступ без уведомления пользователей. Откровенно шпионских программ эксперты не обнаружили, но следует обратить внимание на приложения, которые получают доступы к камере, хранилищу и поиску других аккаунтов на устройстве - это потенциально шпионский функционал. Такой доступ запрашивали «ВК гости», «Мои гости – Активность на странице Вк», «Настоящие Гости ВК» и «Гости и Статистика из Вконтакте».

Хотя эти доступы и обусловлены логикой работы приложений, стоит учитывать, что ни одно из них - не от официального разработчика. Поэтому Роскачество рекомендует понимать, что вы находитесь в потенциально небезопасной среде, и запрос каждого нового доступа рассматривать с повышенным вниманием.

Роскачество рекомендует: не устанавливайте такие приложения, а используйте только официальные мобильные клиенты».