С тех пор как приложение «ВКонтакте» накладывает ограничение на прослушивание музыки, у популярной соцсети появилось множество клонов, обещающих безлимитный доступ к аудио-контенту.Специалисты Роскачества провели экспертизу данных приложений, чтобы выяснить, можно ли им доверять свои персональные данные. Для этого было определено 9 самых популярных приложений для прослушивания музыки из соцсети «Вконтакте» в магазине GooglePlay: «VMUS – Музыка для ВК», «Музыка из контакта в Relax Плеере», «KateMobile для ВКонтакте», «Аудио плеер для вк», «ВМузыке– Музыка для ВК», «MVK – Музыка для ВК», «VKM – Музыка для ВКонтакте», «CROW Плеер – музыка из контакта» и «JVK Player– музыка ВК». В ходе исследования некоторые из этих приложений пропадали из GooglePlay, но уже на следующий день появлялись вновь под новыми именами.
Стоит упомянуть, что эксперты Роскачества не нашли в магазине AppStore ни одного приложения, позволяющего прослушивать музыку из «ВКонтакте» без ограничений, – это связано с политикой компании Apple.
Проверка на безопасность девяти приложений показала, что все они запрашивают только оправданные разрешения. Напомним, неоправданные разрешения опасны тем, что позволяют «шпионить» за пользователями, получив доступ к его фото, контактам, камере и другим источникам информации. Все персональные данные пользователей в проверенных приложениях передаются в зашифрованном виде, а вредоносного ПО обнаружено не было. Однако экспертами были замечены такие уязвимости, как небезопасная реализация SSL и отсутствие проверки хоста сертификата, то есть публичного ключа, заверенного удостоверяющим центром (все SSL-сертификаты, как правило, выдаются на ограниченный срок, по окончании которого они теряют силу и должны быть переизданы, но бывают случаи, когда сертификат может быть отозван ещё до окончания срока действия, – система должна проверять сертификат на действительность). В половине приложений обнаружен межсайтовый скриптинг (данные из ненадёжного источника включаются в ответ, возвращаемый сервером). Это чревато тем, что злоумышленник может подделать ссылку на сервер и перенаправить пользователя на сторонний ресурс, на котором есть риск утечки персональных данных и загрузки вредоносных программ на устройство пользователя, что само по себе уже является серьезной проблемой.
Но главная уязвимость сторонних приложений для прослушивания музыки «ВКонтакте»–угроза потери контроля над аккаунтом социальной сети. Особенно если связка логин/пароль используется также на других ресурсах – тогда под угрозой оказываются все сервисы сразу. Проходя аутентификацию через сторонние приложения, вы сознательно передаете данные своей учетной записи сторонним лицам, которые, в свою очередь, этими данными могут распорядиться по своему усмотрению.
«Роскачество настоятельно не рекомендует использовать сторонние приложения социальных сетей, в частности, предназначенные для прослушивания музыки «ВКонтакте». Необходимо защищать свои учетные записи с помощью двухфакторной аутентификации, использовать разные пароли и никому не сообщать их. К сожалению, многие продолжают игнорировать базовые правила безопасности в Сети»,– говорит Антон Куканов, руководитель Центра цифровой экспертизы Роскачества.
В службе поддержки «ВКонтакте» на наш вопрос, можно ли использовать такие приложения, ответили предупреждением, что таким образом можно остаться без страницы вовсе, и краткой инструкцией, как вернуть «угнанный» аккаунт. Подобный комментарий дала и пресс-служба «ВКонтакте»: «Мы рекомендуем устанавливать только официальные приложения «ВКонтакте» и не пользоваться непроверенными программами. Ни в коем случае не стоит переходить по подозрительным ссылкам, использовать данные для входа в VK в сомнительных программах и устанавливать расширения и приложения, которые обещают дополнительные стикеры, темы, голоса, скачивание аудио и видео или любые другие бонусы. Мы всегда отправляем жалобы в магазины приложений при обнаружении вредоносных программ и просим пользователей поступать так же».
Роскачество призывает пользователей потреблять только легальный контент. Так вы сводите к минимуму риски потери ваших персональных и платежных данных. Потребляя легальный контент, вы поддерживаете разработчиков, чтобы они могли делать свой продукт лучше, и получаете доступ к своевременным обновлениям, которые раз за разом будут повышать степень защищенности ваших данных от новых угроз.
