Для проверки Центром цифровой экспертизы было определено девять самых популярных приложений для прослушивания музыки из соцсети «ВКонтакте» в магазине Google Play:
- «VMUS – Музыка для ВК»
- «Музыка из контакта в Relax Плеере»
- «Kate Mobile для ВКонтакте»
- «Аудио плеер для вк»
- «ВМузыке – Музыка для ВК»
- «MVK – Музыка для ВК»
- «VKM – Музыка для ВКонтакте»
- «CROW Плеер – музыка из контакта»
- «JVK Player – музыка ВК»
В ходе исследования некоторые из этих приложений пропадали из Google Play, но уже на следующий день появлялись вновь под новыми именами.
Эксперты Роскачества не нашли в магазине App Store ни одного приложения, позволяющего прослушивать музыку из «ВКонтакте» без ограничений, – это связано с политикой компании Apple.
Плюсы исследованных приложений
Проверка на безопасность девяти приложений показала, что все персональные данные пользователей в проверенных приложениях передаются в зашифрованном виде, не обнаружено вредоносного ПО. И все приложения запрашивают только оправданные разрешения.
Они позволяют «шпионить» за пользователями после получения доступа к их фотографиям, контактам, камере и другим источникам информации.
Минусы исследованных приложений
Однако экспертами были замечены такие уязвимости, как небезопасная реализация SSL и отсутствие проверки хоста сертификата, то есть публичного ключа, заверенного удостоверяющим центром. Все SSL-сертификаты, как правило, выдаются на ограниченный срок, по окончании которого они теряют силу и должны быть переизданы, но бывают случаи, когда сертификат может быть отозван ещё до окончания срока действия; система должна проверять сертификат на действительность.
В половине приложений обнаружен межсайтовый скриптинг (данные из ненадёжного источника включаются в ответ, возвращаемый сервером). Это чревато тем, что злоумышленник может подделать ссылку на сервер и перенаправить пользователя на сторонний ресурс, на котором есть риск утечки персональных данных и загрузки вредоносных программ на устройство пользователя, что само по себе уже является серьезной проблемой.
Роскачество настоятельно не рекомендует использовать сторонние приложения социальных сетей, в частности, предназначенные для прослушивания музыки «ВКонтакте».
Главная уязвимость сторонних приложений для прослушивания музыки «ВКонтакте» – угроза потери контроля над аккаунтом социальной сети. Особенно если связка «логин/пароль» используется также на других ресурсах – тогда под угрозой оказываются все сервисы сразу. Проходя аутентификацию через сторонние приложения, вы сознательно передаете данные своей учетной записи сторонним лицам, которые, в свою очередь, этими данными могут распорядиться по своему усмотрению.
С мнением эксперта соглашаются и представители соцсети. В службе поддержки «ВКонтакте» на наш вопрос, можно ли использовать такие приложения, ответили предупреждением, что таким образом можно остаться без страницы вовсе, и краткой инструкцией, как вернуть «угнанный» аккаунт.
Пресс-служба «ВКонтакте» добавляет: «Мы рекомендуем устанавливать только официальные приложения “ВКонтакте” и не пользоваться непроверенными программами. Ни в коем случае не стоит переходить по подозрительным ссылкам, использовать данные для входа в VK в сомнительных программах и устанавливать расширения и приложения, которые обещают дополнительные стикеры, темы, голоса, скачивание аудио и видео или любые другие бонусы. Мы всегда отправляем жалобы в магазины приложений при обнаружении вредоносных программ и просим пользователей поступать так же».
Не игнорируйте правила безопасности в Сети
Базовое правило: необходимо защищать свои учетные записи с помощью двухфакторной аутентификации, использовать разные пароли и никому не сообщать их.
Роскачество призывает пользователей потреблять только легальный контент – это самая главная наша рекомендация. Так вы сводите к минимуму риск потери ваших персональных и платежных данных. Потребляя легальный контент, вы поддерживаете разработчиков, чтобы они могли делать свой продукт лучше, и получаете доступ к своевременным обновлениям, которые раз за разом будут повышать степень защищенности ваших данных от новых угроз.
