Государственная организация Роскачество исследовала 9 сторонних приложений для прослушивания музыки из соцсети «ВКонтакте». Они были взяты из Play Маркета: «VMUS — Музыка для ВК», «Музыка из контакта в Relax Плеере», «Kate Mobile для ВКонтакте», «Аудио плеер для вк», «ВМузыке — Музыка для ВК», «MVK — Музыка для ВК», «VKM — Музыка для ВКонтакте», «CROW Плеер — музыка из контакта» и «JVK Player — музыка ВК». Во время исследования некоторые из этих приложений пропадали из магазина, но через некоторое время появлялись там вновь под другими названиями.
Проверка на безопасность показала, что все они запрашивают только оправданные разрешения. Однако экспертами были замечены такие уязвимости, как небезопасная реализация SSL и отсутствие проверки хоста сертификата, то есть публичного ключа, заверенного удостоверяющим центром. В половине приложений обнаружен межсайтовый скриптинг — данные из ненадёжного источника включаются в ответ, возвращаемый сервером. Это чревато тем, что злоумышленник может подделать ссылку на сервер и перенаправить пользователя на сторонний ресурс, на котором есть риск утечки персональных данных и загрузки вредоносных программ на устройство пользователя, что само по себе уже является серьезной проблемой.
Самая главная уязвимость сторонних приложений — угроза потери контроля над аккаунтом социальной сети. Особенно в том случае, если связка логин/пароль используется также на других ресурсах — тогда под угрозой взлома окажутся аккаунты в нескольких сервисах. Проходя аутентификацию в сторонних приложениях, пользователь передаёт данные своей учетной записи неизвестным лицам, которые могут распорядиться ими по своему усмотрению.
Комментарий пресс-службы «ВКонтакте»:
Мы рекомендуем устанавливать только официальные приложения «ВКонтакте» и не пользоваться непроверенными программами. Ни в коем случае не стоит переходить по подозрительным ссылкам, использовать данные для входа в VK в сомнительных программах и устанавливать расширения и приложения, которые обещают дополнительные стикеры, темы, голоса, скачивание аудио и видео или любые другие бонусы. Мы всегда отправляем жалобы в магазины приложений при обнаружении вредоносных программ и просим пользователей поступать так же.
Эсперты Роскачества не нашли в магазине App Store ни одного стороннего приложения, позволяющего прослушивать музыку из «ВКонтакте» без ограничений. Это связано с политикой компании Apple.
iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru