Os peritos da Roskatchestvo descobriram se é possível utilizar aplicações de terceiros para descobrir quem visitou a página VKontakte de um utilizador. Além disso, quão perigosos são estes tipos de aplicações e quais são os riscos para os utilizadores da sua instalação. De todas as 56 aplicações deste tipo estudadas 40 no Android e 16 no iOS , nenhuma foi bem sucedida no teste. Conclusão: As aplicações da categoria “Os meus convidados VK” são enganadoras na sua funcionalidade básica reclamada.
A administração das redes sociais VKontakte explica: não se pode reconhecer “convidados da página. “Tais aplicações ou extensões do navegador podem colocar em risco a conta do utilizador e os dados pessoais. Os atacantes podem utilizar estes serviços para phishing. Aconselhamos a abster-se de utilizar tais aplicações e extensões. Estão a mostrar resultados falsos”, disse o gabinete de imprensa da VKontakte. Isto não está previsto na própria arquitectura do serviço, e as aplicações que supostamente têm tal funcionalidade falsificam os resultados. Mas centenas de milhares de utilizadores ainda instalam tais serviços.
Muitas das aplicações examinadas pelo Centro de Especialização Digital Roskatchestvo prometeram “apanhar convidados” não só nas páginas VKontakte, mas também no Instagram, Twitter e Facebook. Contudo, mesmo aí as suas promessas provaram estar vazias. Durante os testes, foi realizada a mesma experiência com cada aplicação: outro utilizador foi à página da conta de teste e passou um certo tempo na mesma. Todas as aplicações 100% não detectam e mostram a conta que foi utilizada para aceder à página de teste.
Os principais perigos de tais aplicações são a falta de garantias de privacidade e a probabilidade de a sua conta ser debitada. Ao fazê-lo, tendo obtido os dados pessoais ou dinheiro do utilizador, a aplicação pode simplesmente desaparecer. Assim, 10 das 56 aplicações tinham desaparecido das lojas na altura da publicação. Durante a sua investigação, conseguiram descobrir que seis em cada dez aplicações não tinham o registo de IP correcto.
Ao verificar as aplicações, os peritos analisaram o tráfego de saída com software especializado e rastrearam para onde esse tráfego se dirigia. Foi dada especial atenção às consultas da aplicação durante o procedimento de autorização. Por exemplo, 60% das aplicações nesta fase enviaram pedidos para outros países – a maioria foi para servidores turcos. As aplicações com raízes turcas incluem Real VK Guests, My Guests – VK Page Activity, My VK Fans, Search on Android para Twitter, MyTopFans para Twitter.
Anton Kukanov, chefe do Centro de Especialização Digital Roskatchestvo, explica o que acontece quando uma aplicação de terceiros não se autentica directamente através do servidor de uma rede social, mas através do seu próprio servidor. “Imagine que precisa de abrir a porta do seu apartamento. Num caso, tira as chaves do bolso e coloca-as você mesmo no buraco da fechadura, abrindo a porta. Num outro, dá as suas chaves a um estranho e ele abre a porta a seu pedido. Mas não sabe o que este estranho vai fazer antes de abrir a porta. Talvez ele faça um molde das chaves e as utilize mais tarde para os seus próprios fins.
Cinquenta e quatro de 56 candidaturas foram condicionalmente gratuitas. As aplicações “livres” têm anúncios, e são estes que permitem aos seus proprietários rentabilizar as suas actividades. Os anúncios ou não estão desligados ou estão desligados por uma taxa. Nas aplicações “Procurar amigos ocultos para VKontakte – Searcher for VKontakte” e “Quem estava a ver as minhas fotos VK?” são banners marcados em tamanho real que são fáceis de clicar acidentalmente, o que pode levar ao phishing ou outro site malicioso, uma vez que os criadores não são muito exigentes na escolha dos anunciantes.
Em duas aplicações com assinatura paga não é óbvio: o utilizador é apresentado apenas uma vez com uma janela de desenho e sem indicação de custos futuros. Isto tem o potencial de resultar em encargos monetários, o que constituirá uma surpresa para o utilizador.
Permissões excessivas – uma vulnerabilidade clássica nos dispositivos Android, onde uma aplicação pode ganhar acesso importante sem notificar os utilizadores. Não foi detectado nenhum spyware durante o estudo, mas deve ser dada atenção às aplicações que acedem à câmara, ao armazenamento e à procura de outras contas no dispositivo – esta é uma funcionalidade potencialmente espiã “Convidados VK”, “Meus convidados – Actividade na página VK”, “Convidados VK reais” e “Convidados e estatísticas de Vkontakte” . Embora estes acessos se devam à lógica das aplicações, vale a pena ter em conta que nenhuma delas é de um desenvolvedor oficial. Por isso, tem de compreender que se encontra num ambiente potencialmente inseguro, e cada novo pedido de acesso deve ser considerado com maior atenção.
Se ler atentamente as descrições das aplicações, é quase universalmente mencionado que elas não dão cem por cento de garantia de que os convidados da página serão identificados, mas apenas analisam a informação pública transmitida pelos servidores VKontakte através da API Application Programming Interface .
Anton Kukanov, chefe do Centro de Especialização Digital Roskatchestvo: “O principal risco potencial é transferir os dados da sua conta para um servidor de terceiros. Isto pode resultar na perda da conta e de tudo o que lhe é afixado dados pessoais, correspondência e conteúdo . Se um utilizador utiliza a mesma combinação nome de utilizador/senha noutros recursos – todos os serviços são comprometidos de uma só vez. Lembre-se de que quando se regista numa aplicação não oficial não “via ou rede social” está a partilhar conscientemente as credenciais da sua conta com um estranho – e não há garantia da sua integridade. Roskachevo recomenda: não instale tais aplicações, utilize apenas clientes móveis oficiais”
Quais foram os resultados do teste do Roskachestvo para as aplicações do Vkontakte Guest? Essas aplicações são confiáveis e seguras? Gostaria de saber mais sobre a qualidade dessas aplicações antes de usá-las.