Эксперты Роскачества узнали, как работают приложения, которые выдают пользователям информацию о том, кто посещал их страницу «Вконтакте». Кроме того, они выяснили, насколько опасны эти приложения. Аналитики изучили 56 сервисов (40 на платформе Android и 16 на IOS). Исследование показало, что приложения типа «Мои гости в VK» вводят в заблуждение. Это подтвердили в администрации социальной сети.
Специалисты изучали исходящий трафик и следили, куда он направлялся. При авторизации в приложениях много запросов уходило на турецкие сайты. В число таких приложений эксперты Роскачества отнесли «Настоящие Гости ВК», «Мои гости – Активность на странице Вк», «Мои поклонники ВК», «Search on Android for Twitter», «MyTopFans for Twitter».
«Представьте, вам надо открыть дверь в свою квартиру. В одном случае вы сами достаёте ключи из своего кармана и вставляете их в скважину, открывая дверь. В другом – вы даёте ключи незнакомцу и тот открывает дверь по вашей просьбе. Но вы не знаете, что этот незнакомец сделает до того, как открыть дверь. Возможно, он сделает слепок ключей и использует их в последствии в своих целях», - объяснил принцип работы подозрительного приложения руководитель Центра цифровой экспертизы Роскачества Антон Куканов. Оно проводит авторизацию через собственный сервер, тогда как процедура должна проходить напрямую через сервер соцсети.
С помощью пользователей злоумышленники зарабатывают деньги, выяснили аналитики. Почти во всех «бесплатных» приложениях, в 54 из 56, есть реклама, которую можно убрать, заплатив. Иногда объявления не отключаются вовсе. В «Поиск скрытых друзей для ВК – Сыщик для Вконтакте» и «Кто смотрел мои фото ВК?» пользователь может случайно нажать на крупный баннер и перейти на вредоносный сайт. Есть также два приложения, которые предлагают оформить платную подписку. Но окно с этим появляется только один раз, и в нём не указана информация о предстоящих тратах.
«Главный потенциальный риск – передача данных своей учётной записи на сторонний сервер. Это чревато потерей аккаунта и всего, что в нём размещено (персональные данные, переписки и их содержание). А если пользователь применяет ту же связку «логин/пароль» и на других ресурсах – под угрозой оказываются все сервисы сразу. Помните, что, авторизовываясь в неофициальных приложениях (речь не идёт о входе «с помощью или через соцсеть»), вы сознательно передаёте данные своей учётной записи сторонним лицам, гарантий добросовестности которых нет», - отметил глава Центра цифровой экспертизы Роскачества.
Эксперты советуют использовать только официальные мобильные клиенты и не устанавливать сомнительные приложения.