Roskatchestvo eksperdid selgitasid välja, kas kolmanda osapoole rakendusi saab kasutada selleks, et teada saada, kes külastas kasutaja VKontakte’i lehte. Ja kui ohtlikud on sellised rakendused ning milline on oht kasutajatele, kes neid installivad?. Kõigist 56-st uuritud seda tüüpi rakendusest 40 Androidil ja 16 iOSil ei olnud ühtegi edukalt testitud. Kokkuvõte: “Minu VK külalised” kategooria rakendused on eksitavad oma põhiliste väidetavate funktsioonide poolest.
Vkontakte sotsiaalvõrgustiku administratsioon selgitab: lehe “külalisi” on võimatu tuvastada. “Sellised rakendused või veebilehitseja laiendused võivad kujutada endast ohtu kasutaja kontole ja isikuandmetele. Ründajad võivad selliseid teenuseid kasutada andmepüügiks. Soovitame hoiduda selliste rakenduste ja laienduste kasutamisest. Nad ei näita tõepäraseid tulemusi,” ütles VKontakte pressiteenistus. Seda ei paku teenuse arhitektuur ise ja rakendused, millel on väidetavalt selline funktsionaalsus, võltsivad tulemusi. Kuid sajad tuhanded kasutajad paigaldavad selliseid teenuseid endiselt.
Paljud Roskatchestvo digitaalse ekspertiisikeskuse poolt uuritud rakendused lubasid “püüda külalisi” mitte ainult VKontakte’i lehekülgedel, vaid ka Instagramis, Twitteris ja Facebookis. Kuid isegi seal osutusid nende lubadused tühjaks. Testimise käigus tehti iga rakendusega sama eksperiment: erinev kasutaja külastas testkonto lehekülge ja veetis seal teatud aja. Kõik 100% rakendustest ei suutnud tuvastada ja näidata kontot, millelt nad testlehte avasid.
Nende rakenduste peamised ohud on privaatsustagatiste puudumine ja oht, et teie kontolt võetaks raha maha. Vahepeal võib rakendus, olles saanud kasutaja isikuandmed või raha, lihtsalt kaduda. Tõepoolest, 10 rakendust 56-st oli avaldamise ajaks kauplustest kadunud. Uuringu käigus õnnestus ekspertidel tuvastada, et kümnest rakendusest kuus näitasid IP-logini ja tegeliku IP-logini mittevastavust.
Rakenduste läbivaatamisel analüüsisid eksperdid spetsiaalse tarkvara abil väljaminevat liiklust ja jälgisid, kuhu liiklus suundub. Erilist tähelepanu pöörati loa andmise menetluse käigus rakenduste päringutele. Näiteks 60% rakendustest saatis selles etapis päringuid teistesse riikidesse – enamik neist läks Türgi serveritesse. Türgi juurtega rakenduste hulgas on “Real VK Guests”, “My Guests – Activity on VK page”, “My VK fans”, “Search on Android for Twitter”, “MyTopFans for Twitter”.
Anton Kukanov, Roskatchestvo digitaalse ekspertiisikeskuse juht, selgitab, mis juhtub, kui kolmanda osapoole rakendus ei tee autoriseerimist otse sotsiaalvõrgustiku serveri, vaid omaenda serveri kaudu. “Kujutage ette, et teil on vaja avada oma korteri uks. Ühel juhul võtate võtmed taskust välja ja pistate need võtmeauku ning avate ukse. Teises annate oma võtmed võõrastele ja nad avavad ukse teie palvel. Aga te ei tea, mida see võõras teeb, enne kui ta ukse avab. “Ta võib teha võtmetest vormi ja kasutada neid oma eesmärkidel.”.
Viiskümmend neli rakendust 56-st on tingimata tasuta. “Tasuta” rakendustes on reklaam, mis võimaldab nende omanikel oma tegevust rahaks teha. Reklaamid kas ei ole üldse välja lülitatud või lülitatakse välja tasu eest. Rakendustes “VK peidetud sõprade otsimine – Vkontakte sleuth” ja “Kes on minu VK-fotosid vaadanud”?”Kuvatakse täissuuruses bännerid, millele võib kergesti kogemata klikkida ja mis võivad viia andmepüügi- või muule pahatahtlikule saidile, kuna arendajad ei ole reklaamijate valikul liiga valivad.
Kahes tasulise tellimusega rakenduses ei ole see ilmne: kasutajale esitatakse vaid üks kord kujundus ja talle ei öelda, mida edaspidi kulutada. See on potentsiaalselt koormatud debiteerimistasudega, mis tulevad kasutajale üllatusena.
Liigsed õigused – klassikaline Androidi seadme haavatavus, mille puhul rakendus võib saada olulise juurdepääsu ilma kasutajat teavitamata. Uuringu käigus ei tuvastatud jultunud nuhkvara, kuid tähelepanu tuleks pöörata rakendustele, mis pääsevad ligi kaamerale, salvestusruumile ja otsivad seadme teisi kontosid – see on potentsiaalselt spioonifunktsioon “VK külalised”, “Minu külalised – aktiivsus VK lehel”, “Reaalsed VK külalised” ja “Külalised ja statistika Vkontakte’ist” . Kuigi need ligipääsud on tingitud rakenduste loogikast, on märkimisväärne, et ükski neist ei ole ametliku arendaja loodud. Seega peate olema teadlik sellest, et olete potentsiaalselt ebaturvalises keskkonnas, ja kaaluma iga uut juurdepääsutaotlust kõrgendatud tähelepanuga.
Kui te loete hoolikalt rakenduste kirjeldusi, on peaaegu kõikjal mainitud, et nad ei anna sada protsenti garantiid, et lehe külalised kuvatakse, vaid ainult analüüsivad VKontakte serverite poolt API Application Programming Interface kaudu edastatud avatud teavet.
Anton Kukanov, Roskatchestvo digitaalse ekspertiisikeskuse juht: “Peamine potentsiaalne risk on teie kontoandmete edastamine kolmanda osapoole serverisse. On oht, et teie konto ja kõik selles sisalduv isikuandmed, kirjavahetus ja nende sisu võib kaduda. Ja kui kasutaja kasutab sama “sisselogimise/salasõna” kaardistamist teistel ressurssidel – kõik teenused on korraga ohus. Pidage meeles, et mitteametlikesse rakendustesse sisse logides me ei räägi sisselogimisest “sotsiaalvõrgustikuga või selle kaudu” jagate teadlikult oma kontoandmeid kolmandatele isikutele, kelle terviklikkust ei saa tagada. Roskatchestvo soovitab selliseid rakendusi mitte paigaldada ja kasutada ainult ametlikke mobiilikliente
Kas Roskachestvo testib ka muid sotsiaalmeedia rakendusi peale VKontakte?
Kas tulemused näitavad, milline VKontakte rakendus on kõige parem ja turvalisem või ainult üldiselt nende omadusi?