Les experts de Roskatchestvo ont découvert que des applications tierces pouvaient être utilisées pour savoir qui a visité la page VKontakte d’un utilisateur. De plus, quels sont les dangers de ce genre d’applications et quels sont les dangers de les installer. Sur les 56 applications de ce type étudiées 40 sur Android et 16 sur iOS , aucune n’a passé le test avec succès. Conclusion : les applications de la catégorie « Mes invités VK » sont trompeuses dans leur fonctionnalité déclarée.
La direction de VKontakte explique : il est impossible de connaître les » invités de la page « . « Ces applications ou extensions de navigateur peuvent présenter un risque pour le compte et les données personnelles de l’utilisateur… ». Les cybercriminels peuvent utiliser ces services pour le phishing. Nous vous conseillons de vous abstenir d’utiliser ces applications et extensions. Ils produisent de faux résultats », a déclaré le service de presse de Vkontakte. Cette fonctionnalité n’est pas prévue par l’architecture du service lui-même, et les applications qui prétendent l’offrir falsifient les résultats. Mais des centaines de milliers d’utilisateurs installent quand même ces services.
De nombreuses applications examinées par les spécialistes du Centre d’expertise numérique de Roskatchestvo promettaient d' »attraper les invités » non seulement sur les pages VKontakte, mais aussi sur Instagram, Twitter, Facebook. Mais même là, leurs promesses se sont avérées vaines. Dans le test, la même expérience a été menée avec chaque application : un autre utilisateur s’est rendu sur la page du compte test et y a passé un certain temps. 100 % des applications n’ont pas réussi à identifier et à montrer le compte à partir duquel elles ont accédé à la page de test.
Les principaux dangers de ces applications sont l’absence de garantie de confidentialité et la probabilité que votre compte soit débité. Après avoir acquis les données personnelles ou l’argent de l’utilisateur, l’application peut tout simplement disparaître. Ainsi, 10 des 56 applications avaient disparu des magasins au moment de la publication. Au cours de l’étude, les experts ont découvert que six de ces dix applications ne disposaient pas d’un identifiant IP correspondant à l’identifiant réel.
Lors de l’inspection des applications, les experts ont analysé le trafic sortant à l’aide d’un logiciel spécialisé et ont suivi la destination de ce trafic. Un intérêt particulier a été accordé aux demandes d’applications lors de la procédure d’autorisation. Ainsi, 60 % des applications à ce stade ont envoyé des requêtes à d’autres pays – la plupart sont allées sur des serveurs turcs. Parmi les applications d’origine turque figurent « Real VK Guests », « My Guests – Activity on VK page », « My VK fans », « Search on Android for Twitter », « MyTopFans for Twitter ».
Anton Kukanov, directeur du centre d’expertise numérique de Roskatchestvo, explique ce qui se passe lorsqu’une application tierce ne s’authentifie pas directement sur le serveur d’un réseau social mais sur son propre serveur. « Imaginez que vous devez ouvrir la porte de votre appartement. Dans un cas, vous sortez les clés de votre poche et les mettez dans le trou de serrure pour ouvrir la porte. Dans un autre, vous donnez vos clés à un étranger et il ouvre la porte à votre demande. Mais vous ne savez pas ce que l’étranger va faire avant d’ouvrir la porte. Il a pu faire un moule des clés et les utiliser plus tard pour ses propres besoins. ».
Cinquante-quatre des 56 applications ont été jugées gratuites. Les applications « gratuites » contiennent de la publicité, ce qui permet à leurs propriétaires de monétiser leurs activités. Les publicités ne sont pas désactivées du tout ou sont désactivées moyennant paiement. Dans les applications « Recherche d’amis cachés pour VKontakte » et « Qui a regardé mes photos sur VKontakte »? »Les développeurs n’étant pas très pointilleux dans le choix de leurs annonceurs, il est facile de cliquer accidentellement sur les bannières en taille réelle, ce qui peut conduire à un site de phishing ou à un autre site malveillant.
Dans deux applications avec abonnements payants, ce n’est pas évident : l’utilisateur ne voit la fenêtre de paiement qu’une seule fois et ne sait pas ce qu’il dépensera à l’avenir. Cela peut entraîner des frais financiers qui surprendront l’utilisateur.
Les autorisations excessives sont une vulnérabilité classique des appareils Android, où une application peut obtenir un accès important sans en avertir les utilisateurs. Aucun logiciel espion flagrant n’a été détecté au cours de l’enquête, mais il convient de prêter attention aux applications qui accèdent à l’appareil photo, au stockage et à la recherche d’autres comptes sur l’appareil – il s’agit d’une fonctionnalité d’espionnage potentielle « VK Guests », « My Guests – Activity on VK page », « Real VK Guests » et « Guests and Statistics from Vkontakte » . Bien que ces accès soient soumis à la logique des applications, il convient de garder à l’esprit qu’aucun d’entre eux ne provient d’un développeur officiel. Vous devez donc être conscient que vous vous trouvez dans un environnement potentiellement peu sûr, et considérer chaque nouvelle demande d’accès avec une attention accrue.
Si vous lisez attentivement les descriptions des applications, il est presque partout mentionné qu’elles ne donnent pas une garantie à cent pour cent qu’elles indiqueront les invités de la page, mais analysent seulement les informations ouvertes transmises par les serveurs de VKontakte à travers l’API Application Programming Interface .
Anton Kukanov, chef du centre d’expertise numérique de Roskatchestvo : « Le principal risque potentiel est que les données de votre compte soient transmises au serveur d’un tiers. Cela peut entraîner la perte du compte et de tout ce qu’il contient données personnelles, correspondance et contenu . Et si un utilisateur utilise la même combinaison « login/mot de passe » sur d’autres ressources, tous les services sont compromis en même temps. N’oubliez pas que lorsque vous vous connectez à des applications non officielles nous ne parlons pas de « avec ou par l’intermédiaire d’un réseau social » , vous divulguez sciemment les données de votre compte à des tiers, et leur intégrité n’est pas garantie. Roskatchestvo recommande de ne pas installer de telles applications et de n’utiliser que les clients mobiles officiels »
Bonjour! J’ai lu que Roskatchestvo a testé les applications VKontakte invitées. J’aimerais en savoir plus sur leurs résultats. Est-ce que les applications ont été jugées fiables et sûres à utiliser? Quelles ont été les fonctionnalités évaluées? Je suis curieux de connaître l’opinion de Roskatchestvo à ce sujet. Merci d’avance pour votre réponse!