26/06/19
В преддверии Дня молодежи Центр цифровой экспертизы Роскачества выпускает исследование клонов соцсети «ВКонтакте» для прослушивания музыки.
С тех пор, как приложение «ВКонтакте» накладывает ограничение на прослушивание музыки, у популярной соцсети появилось множество клонов, обещающих безлимитный доступ к аудио-контенту. Специалисты Роскачества провели экспертизу данных приложений, чтобы выяснить, можно ли им доверять свои персональные данные.
Для этого было определено 9 самых популярных приложений для прослушивания музыки из соцсети «Вконтакте» в магазине Google Play: «VMUS – Музыка для ВК», «Музыка из контакта в Relax Плеере», «Kate Mobile для ВКонтакте», «Аудио плеер для вк», «ВМузыке – Музыка для ВК», «MVK – Музыка для ВК», «VKM – Музыка для ВКонтакте», «CROW Плеер – музыка из контакта» и «JVK Player – музыка ВК». В ходе исследования некоторые из этих приложений пропадали из Google Play, но уже на следующий день появлялись вновь под новыми именами.
Стоит упомянуть, что эксперты Роскачества не нашли в магазине App Store ни одного приложения, позволяющего прослушивать музыку из «ВКонтакте» без ограничений – это связано с политикой компании Apple.
Проверка на безопасность девяти приложений показала, что все они запрашивают только оправданные разрешения. Напомним, неоправданные разрешения опасны тем, что позволяют «шпионить» за пользователями, получив доступ к его фото, контактам, камере и другим источникам информации. Все персональные данные пользователей в проверенных приложениях передаются в зашифрованном виде, а вредоносного ПО обнаружено не было. Однако экспертами были замечены такие уязвимости, как небезопасная реализация SSL и отсутствие проверки хоста сертификата, то есть публичного ключа, заверенного удостоверяющим центром (все SSL-сертификаты, как правило, выдаются на ограниченный срок, по окончании которого они теряют силу и должны быть переизданы, но бывают случаи, когда сертификат может быть отозван ещё до окончания срока действия – система должна проверять сертификат на действительность). В половине приложений обнаружен межсайтовый скриптинг (данные из ненадёжного источника включаются в ответ, возвращаемый сервером). Это чревато тем, что злоумышленник может подделать ссылку на сервер и перенаправить пользователя на сторонний ресурс, на котором есть риск утечки персональных данных и загрузки вредоносных программ на устройство пользователя, что само по себе уже является серьезной проблемой.
Но главная уязвимость сторонних приложений для прослушивания музыки «ВКонтакте» – угроза потери контроля над аккаунтом социальной сети. Особенно, если связка логин/пароль используется также на других ресурсах – тогда под угрозой оказываются все сервисы сразу. Проходя аутентификацию через сторонние приложения, вы сознательно передаете данные своей учетной записи сторонним лицам, которые, в свою очередь, этими данными могут распорядиться по своему усмотрению.
«Роскачество настоятельно не рекомендует использовать сторонние приложения социальных сетей, в частности, предназначенные для прослушивания музыки «ВКонтакте». Необходимо защищать свои учетные записи с помощью двухфакторной аутентификации, использовать разные пароли и никому не сообщать их. К сожалению, многие продолжают игнорировать базовые правила безопасности в Сети», – говорит Антон Куканов, руководитель Центра цифровой экспертизы Роскачества.
