На протяжении многих лет администрация социальной сети «ВКонтакте» неустанно разъясняла: не существует приложений, которые могут показать вам данные о гостях, заходивших на вашу страницу. Это не предусмотрено самой архитектурой сервиса, а приложения, которые якобы имеют такую функциональность, подделывают результаты своей работы.
Тем не менее продолжают находиться доверчивые пользователи, которые устанавливают сомнительные приложения, возможно полагая, что администрация соцсети не говорит им всей правды.
Эксперты Роскачества решили раз и навсегда ответить на вопрос, возможно ли в принципе с помощью сторонних приложений узнать, какие гости заходили на страницу пользователя «ВКонтакте». Другой целью исследования было определить, насколько опасны приложения такого рода и чем именно пользователям грозит их установка.
Сразу ответим на главный вопрос исследования: из всех 56 изученных приложений этого типа (40 на платформе Android и 16 на iOS) ни одно не прошло тестирование успешно.
Кстати, многие из исследованных приложений обещали «поймать гостей» не только на страницах «ВКонтакте», но одновременно и в Инстаграме, Твиттере или на Фейсбуке. Однако и там их обещания оказались пустыми.
В ходе тестирования с каждым приложением был проведен одинаковый и предельно простой эксперимент: на страницу тестового аккаунта заходил другой пользователь и проводил на ней определенное время. Все 100% приложений не смогли определить и показать аккаунт, с которого действительно заходили на тестовую страницу.
При этом, использовав ваши данные или ваши деньги, приложение может просто исчезнуть!
Так десять из исследованных 56 приложений к моменту публикации исчезло из магазинов. Во время исследования эксперты успели установить, что из этих десяти приложений у шести наблюдалось несоответствие IP-логина с реальным. Приложения скорей всего были удалены из магазина приложений либо из-за подозрительной активности, либо по решению самих разработчиков.
Сомнительные IP-адреса
При проверке приложений специалисты анализировали исходящий трафик с помощью специализированного ПО и отслеживали, куда этот трафик направлялся. Особый интерес был уделен запросам приложения во время процедуры авторизации. Так, 60% приложений во время авторизации отправляли запросы в другие страны (большинство уходило на турецкие серверы), что вызывает резонные вопросы о конфиденциальности учетных данных пользователей.
Если приложение проводит авторизацию не напрямую через сервер вашей социальной сети, а через сторонний сервер, это очень плохо. Сотрудники Центра цифровой экспертизы Роскачества объясняют, что случается, если IP-адрес уводит на сторонний сервер. Представьте, вам надо открыть дверь в свою квартиру. В одном случае вы сами достаете ключи из своего кармана и вставляете их в скважину, открывая дверь. В другом – вы даете ключи незнакомцу и тот открывает дверь по вашей просьбе. Но вы не знаете, что этот незнакомец сделает до того, как открыть вашу дверь. Возможно, он сделает слепок ключей и использует потом в своих целях.
Среди особенно отличившихся приложений, с турецкими корнями, можно отметить «Настоящие Гости ВК», «Мои гости – Активность на странице Вк», «Мои поклонники ВК», «Search on Android for Twitter», «MyTopFans for Twitter».
Полный список исследованных приложений, которые в процессе аутентификации увели на сторонний сервис, смотрите ЗДЕСЬ.
Реклама
54 приложений из 56 – условно бесплатные. В бесплатных приложениях есть реклама, именно она позволяет владельцу приложения монетизировать свою деятельность.
Реклама либо не отключается вовсе, либо ее можно отключить за деньги.
Разработчики позволяют отключить рекламу разными способами, кто-то делает это «пакетами», кто-то отдельным платежом. Стоимость за «пакеты» тоже у всех разная, как и количество дополнительных услуг. Также следует учитывать, что кто-то предоставляет расширенный доступ начиная от трех дней, другой – строго на месяц.
Хоть и все эти платежи в подобных сервисах не являются обязательными, тем не менее, они приносят определенный доход владельцам сервисов.
Среди приложений, отправляющих запрос аутентификации напрямую на сервер социальной сети, у 8 не было никакой возможности отключить рекламу, еще у 8 была возможность отключить рекламу за деньги.
Что касается приложений с IP-адресами, уводящими на сторонние серверы, из них опция отключения рекламы за деньги была у 17 приложений, а невозможность отключения рекламы – у 10 приложений.
В рекламных интеграциях таких приложений нет ничего нового, и, в принципе, можно понять желание разработчика монетизировать свой продукт. Вместе с тем некоторые методы, к которым прибегают разработчики, являются не самыми приятными для пользователя.
Так, в двух приложениях были отмечены показы полноразмерных баннеров, на которые достаточно легко нажать случайно: это потенциально чревато переходом на фишинговый или откровенно вредоносный сайт, так как в выборе рекламодателей разработчики таких приложений могут быть не слишком разборчивы. Эти приложения – «Поиск скрытых друзей для ВК – Сыщик для Вконтакте» и «Кто смотрел мои фото ВК?».
Платная подписка
Два из 56 исследованных приложений являются платными.
Наряду с бесплатными приложениями, демонстрирующими рекламу, специалистам попались также и приложения, которые имеют платную подписку. Причем она весьма неочевидна: пользователю лишь один раз демонстрируется окно с оформлением подписки, и больше нигде в самом приложении не указано о будущих тратах. Это потенциально чревато списанием денежных средств, которое будет являться сюрпризом для пользователя.
Приложение может быть бесплатным и вдруг в какой-то момент стать платным, и наоборот. Так, в момент исследования платными были «Гости ВК» и «Поиск скрытых друзей ВКонтакте – Скрытые друзья ВК», а на момент публикации исследования «Гости ВК» уже перестали быть платными, платным стал «@Hunter VK».
Доступы
Избыточные разрешения приложений – классическое уязвимое место Android-устройств, где приложение достаточно часто может получать важный доступ без уведомления пользователей. Хотя откровенно шпионских программ в ходе исследования обнаружено не было, следует обратить внимание на приложения, которые получают доступы к камере, хранилищу и поиску других аккаунтов на устройстве, что потенциально является шпионской функциональностью.
Отметить можно такие приложения, как «ВК гости», «Мои гости – Активность на странице Вк», «Настоящие Гости ВК» и «Гости и Статистика из Вконтакте».
Выводы
Подобные приложения, несмотря на свои названия, не позволяют просматривать гостей в социальной сети «ВКонтакте». Вместе с тем, если внимательно прочитать описание приложений, почти везде упоминается, что они не дают стопроцентной гарантии того, что будут показывать гостей, а лишь анализируют открытую информацию, которую передают серверы «ВКонтакте» через API (программный интерфейс приложения).
Главным потенциальным риском здесь является передача данных своей учетной записи на сторонний сервер. Это чревато потерей аккаунта и персональных данных (а также переписок и их содержания). А если пользователь применяет ту же связку «логин/пароль» на других ресурсах – под угрозой оказываются все сервисы сразу. Помните, что, проходя аутентификацию не через официальные приложения, вы сознательно передаете данные своей учетной записи сторонним лицам, гарантий добросовестности которых нет.
Рекомендации
Обычно в ходе таких исследований Роскачество дает рекомендации, как пользователям быть осторожными при скачивании приложений определенной категории. Однако в этом случае – так как сама категория «Мои гости в VK» не выполняет основной функции, но при этом несет риски – рекомендация может быть только одна: не устанавливайте такие приложения, а используйте только официальные мобильные клиенты.
Следите за новостями, подписывайтесь на рассылку.
При цитировании данного материала активная ссылка на источник обязательна.