Los expertos de Roskatchestvo descubrieron si las aplicaciones de terceros pueden utilizarse para averiguar quién visitó la página de VKontakte de un usuario. Y también cómo de peligrosas son este tipo de aplicaciones y cuáles son los riesgos para los usuarios cuando las instalan. De las 56 aplicaciones de este tipo estudiadas 40 en Android y 16 en iOS ninguna pasó la prueba con éxito. Conclusión: las aplicaciones de la categoría Mis invitados de VK son engañosas en su supuesta funcionalidad básica.
La administración de la red social «Vkontakte» aclara: es imposible identificar a los «invitados de la página. «Estas apps o extensiones del navegador pueden suponer un riesgo para la cuenta y los datos personales del usuario. Los ciberdelincuentes pueden utilizar estos servicios para el phishing. Aconsejamos abstenerse de utilizar dichas aplicaciones y extensiones. No muestran resultados reales», dijo el servicio de prensa de VKontakte. Esto no forma parte de la arquitectura del servicio, y las aplicaciones que dicen tener esa funcionalidad falsean los resultados. Pero cientos de miles de usuarios instalan estos servicios de todos modos.
Muchas de las aplicaciones estudiadas por el Centro de Experiencia Digital de Roskatchestvo prometían «atrapar a los invitados» no sólo en las páginas de VKontakte, sino también en Instagram, Twitter y Facebook. Pero incluso allí, sus promesas eran vacías. Durante las pruebas, cada aplicación fue sometida al mismo experimento: un usuario diferente visitó la página de la cuenta de prueba y pasó una cierta cantidad de tiempo en ella. El 100% de las aplicaciones no identificaron ni mostraron la cuenta desde la que accedieron a la página de prueba.
Los principales peligros de estas aplicaciones son la falta de garantías de privacidad y la posibilidad de que te quiten el dinero de tu cuenta. Y después de conseguir los datos personales o el dinero del usuario, la aplicación puede simplemente desaparecer. Por ejemplo, 10 de las 56 aplicaciones habían desaparecido de las tiendas en el momento de la publicación. Durante la investigación, los expertos lograron descubrir que seis de cada diez de estas aplicaciones tenían inicios de sesión con IP erróneas.
En las pruebas de las aplicaciones, los expertos analizaron el tráfico saliente mediante un software especializado y rastrearon el destino de ese tráfico. Se ha prestado especial atención a las solicitudes de aplicaciones durante el procedimiento de autorización. Por ejemplo, el 60% de las aplicaciones enviaron solicitudes a otros países en esta fase, la mayoría de ellas a servidores turcos. Entre las aplicaciones con raíces turcas se encuentran Real VK Guests, My Guests – VK Page Activity, My VK Fans, Search on Android for Twitter, MyTopFans for Twitter.
Anton Kukanov, director del Centro de Experiencia Digital de Roskatchestvo, explica lo que ocurre cuando una aplicación de terceros no realiza la autorización directamente a través de un servidor de la red social, sino a través de su propio servidor. «Imagina que necesitas abrir la puerta de tu piso. En un caso, se sacan las llaves del bolsillo y se introducen en el ojo de la cerradura para abrir la puerta. La otra es que le des las llaves a un desconocido y te abra la puerta a petición tuya. Pero no sabes qué hará ese desconocido antes de abrir la puerta. Podría hacer un molde de las llaves y utilizarlas después para sus propios fines».
Cincuenta y cuatro de las 56 aplicaciones se consideraron gratuitas. Las aplicaciones «gratuitas» contienen publicidad, y es ésta la que permite a sus propietarios monetizar sus actividades. Los anuncios no se desactivan en absoluto o se pueden desactivar pagando. En las aplicaciones «Búsqueda de amigos ocultos para VKontakte – VKontakte Searcher» y «¿Quién estaba mirando mis fotos VK?»muestra banners de tamaño completo en los que es fácil hacer clic accidentalmente, lo que puede conducir a sitios de phishing y otros sitios maliciosos, ya que los desarrolladores no son demasiado exigentes en la elección de los anunciantes.
En las dos aplicaciones con suscripción de pago, no es evidente: al usuario se le presenta una sola vez un formulario y no se le dice lo que debe gastar en el futuro. Esto tiene el potencial de un débito, que viene como una sorpresa para el usuario.
El exceso de permisos es una vulnerabilidad clásica de los dispositivos Android, en la que una aplicación puede obtener accesos importantes sin avisar a los usuarios. Durante el estudio no se detectó ningún programa espía, pero hay que prestar atención a las aplicaciones que acceden a la cámara, al almacenamiento y a la búsqueda de otras cuentas en el dispositivo: se trata de una funcionalidad potencialmente espía «Invitados de VK», «Mis invitados – Actividad en la página de VK», «Invitados reales de VK» y «Invitados y estadísticas de Vkontakte» . Aunque estos accesos se deben a la lógica de las apps, hay que tener en cuenta que ninguna de ellas es de un desarrollador oficial. Por lo tanto, debe ser consciente de que se encuentra en un entorno potencialmente inseguro, y considerar cada nueva solicitud de acceso con especial cuidado.
Si usted lee cuidadosamente las descripciones de las aplicaciones, casi en todas partes se menciona que no dan un cien por ciento de garantía de que los huéspedes de la página, pero sólo analizar la información abierta que se transmite por los servidores de VKontakte a través de API Application Program Interface .
Anton Kukanov, director del Centro de Experiencia Digital de Roskatchestvo: «El principal riesgo potencial es la transferencia de los datos de su cuenta a un servidor de terceros. Podrías perder tu cuenta y todo lo que hay en ella datos personales, correspondencia y contenido . Y si un usuario utiliza la misma combinación de nombre de usuario y contraseña en otros sitios web, todos los servicios se ven comprometidos a la vez. Recuerda que cuando te registras en una aplicación no oficial no se trata de hacerlo «con o a través de una red social» , estás compartiendo conscientemente los datos de tu cuenta con personas ajenas a la empresa, que no tienen ninguna garantía de imparcialidad. Roskatchestvo recomienda: no instalar este tipo de aplicaciones y utilizar sólo los clientes móviles oficiales
¿Cuáles fueron los resultados de las pruebas de Roskachestvo en las aplicaciones de Vkontakte para invitados? ¿Recomiendan alguna en particular? ¿Qué aspectos tuvieron en cuenta para llevar a cabo estas pruebas?
¿Qué resultados obtuvo Roskachestvo al probar las aplicaciones de vkontakte para invitados?
¿Qué aplicación de vkontakte recomendaría Roskachestvo para invitados? Además, ¿cuáles son los criterios utilizados por Roskachestvo para probar estas aplicaciones?
¿Cuáles son las conclusiones de Roskachestvo sobre las aplicaciones de vkontakte para invitados? ¿Recomiendan su uso o existen aspectos negativos a considerar? Me gustaría conocer su opinión para tomar una decisión informada.