Roskatchestvo uzmanları, üçüncü taraf uygulamaların yardımıyla bir kullanıcının VKontakte sayfasını kimin ziyaret ettiğini bulmanın mümkün olup olmadığını öğrendi. Ayrıca bu tür uygulamalar ne kadar tehlikelidir ve bunları yüklemenin tehlikeleri nelerdir?. İncelenen bu tür 56 uygulamanın 40’ı Android’de ve 16’sı iOS’ta hiçbiri testi başarıyla geçemedi. Sonuç: “VK misafirlerim” kategorisindeki uygulamalar, iddia edilen ana işlevleri açısından yanıltıcıdır.
VKontakte yönetimi açıklıyor: “sayfanın misafirlerini” bilmek imkansız. “Bu tür uygulamalar veya tarayıcı uzantıları, bir kullanıcının hesabı ve kişisel verileri için risk oluşturabilir. Saldırganlar bu tür hizmetleri kimlik avı için kullanabilir. Bu tür uygulamaları ve uzantıları kullanmamanızı tavsiye ederiz. Yanlış sonuçlar gösteriyorlar,” dedi VKontakte’nin basın ofisi. Bu, hizmetin mimarisinin bir parçası değildir ve bu işlevselliğe sahip olduğunu iddia eden uygulamalar sonuçları taklit eder. Ancak yine de yüz binlerce kullanıcı bu tür hizmetleri yükledi.
Roskatchestvo Dijital Uzmanlık Merkezi tarafından incelenen uygulamaların çoğu sadece VKontakte sayfalarında değil, aynı zamanda Instagram, Twitter ve Facebook’ta da “misafir yakalama” sözü veriyordu. Ancak orada bile verdikleri sözlerin boş olduğu ortaya çıktı. Test sırasında her uygulama aynı deneye tabi tutulmuştur: başka bir kullanıcı test hesabı sayfasını ziyaret etmiş ve sayfada belirli bir süre geçirmiştir. 100 uygulamanın tamamı test sayfasına eriştikleri hesabı tespit edemedi ve gösteremedi.
Bu tür uygulamaların başlıca tehlikeleri gizlilik garantilerinin olmaması ve hesabınızdan para çekilmesi olasılığıdır. Bu arada, kullanıcının kişisel verilerini veya parasını elde eden uygulama kolayca ortadan kaybolabilir. Örneğin, 56 uygulamadan 10’u yayınlandığı sırada mağazalardan kaybolmuştu. Çalışma sırasında uzmanlar, on uygulamadan altısının doğru IP adresine sahip olmadığını tespit etmeyi başardı.
Uygulamaları test ederken, uzmanlar özel bir yazılım kullanarak giden trafiği analiz etti ve trafiğin nereye gönderildiğini takip etti. Kimlik doğrulama işlemi sırasında uygulama tarafından yapılan taleplere özellikle dikkat edilmiştir. Örneğin, bu aşamadaki uygulamaların %60’ı diğer ülkelere talep gönderdi – çoğu Türkiye’deki sunuculara gitti. Türkiye kökenli uygulamalar arasında Real VK Guests, My Guests – VK Page Activity, My VK Fans, Search on Android for Twitter, MyTopFans for Twitter yer almaktadır.
Roskatchestvo’nun Dijital Uzmanlık Merkezi Başkanı Anton Kukanov, üçüncü taraf bir uygulama yetkilendirmeyi doğrudan bir sosyal ağ sunucusu üzerinden değil de kendi sunucusu üzerinden yaptığında ne olduğunu açıklıyor. “Dairenizin kapısını açmanız gerektiğini düşünün. Bir durumda, kapıyı açmak için anahtarları cebinizden kendiniz çıkarır ve anahtar deliğine sokarsınız. Diğeri ise anahtarlarınızı bir yabancıya verdiğinizde onun sizin isteğiniz üzerine kapıyı açmasıdır. Ama sen kapıyı açmadan önce bu yabancının ne yapacağını bilmiyorsun. “Dairenizin kapısını açmanız gerektiğini ve anahtarların bir kalıbını çıkarıp daha sonra kendi amaçları için kullanabileceğini düşünün.”.
56 uygulamanın elli dördü şartlı olarak ücretsizdir. “Ücretsiz” uygulamalar, sahiplerinin faaliyetlerinden para kazanmalarını sağlayan reklamlara sahiptir. Reklamlar ya hiç kapatılmıyor ya da ücret karşılığında kapatılıyor. VKontakte için Gizli Arkadaşları Ara ve VKontakte’de Fotoğraflarımı Kim İzliyordu uygulamalarının tümü ele geçirilmiştir?” yanlışlıkla tıklanması kolay olan tam boyutlu banner’lar gösterir, bu da geliştiriciler reklamveren seçiminde çok dikkatli olmadıkları için kimlik avı veya diğer kötü amaçlı sitelere yönlendirebilir.
Ücretli aboneliklere sahip iki uygulamada bu durum açık değildir: kullanıcıya ödeme penceresi yalnızca bir kez gösterilir ve gelecekteki harcamalardan bahsedilmez. Bu, potansiyel olarak kullanıcı için sürpriz olacak borç ücretleriyle doludur.
Aşırı izinler, Android cihazlarda uygulamanın kullanıcılara haber vermeden önemli erişimler elde edebildiği klasik bir güvenlik açığıdır. Çalışma sırasında bariz bir casus yazılım tespit edilmedi, ancak kameraya, depolama alanına erişen ve cihazınızdaki diğer hesapları arayan uygulamalara dikkat etmelisiniz – bu potansiyel bir casus işlevidir “VK Misafirleri”, “Misafirlerim – VK sayfasındaki etkinlik”, “Gerçek VK Misafirleri” ve “Vkontakte’den Misafirler ve İstatistikler” . Bu erişimler uygulamaların mantığı tarafından yönlendirilse de, hiçbirinin resmi bir geliştiriciden gelmediğini akılda tutmakta fayda var. Bu nedenle, potansiyel olarak güvensiz bir ortamda olduğunuzun farkında olmanız ve her yeni erişim talebini ekstra dikkatle ele almanız gerekir.
Uygulamaların açıklamalarını dikkatlice okursanız, neredeyse her zaman sayfanın misafirlerinin yüzde yüzünü garanti etmediklerini, ancak yalnızca VKontakte sunucuları tarafından API Uygulama Programlama Arayüzü aracılığıyla sağlanan açık verileri analiz ettiklerini belirtirler.
Roskatchestvo’nun Dijital Uzmanlık Merkezi Başkanı Anton Kukanov: “Ana potansiyel risk, hesap verilerinizin üçüncü taraf bir sunucuya aktarılmasıdır. Bu, hesabı ve içindeki her şeyi kişisel veriler, yazışmalar ve içerik kaybetme riski taşır. Ve eğer kullanıcı aynı kullanıcı adı/şifre kombinasyonunu diğer hizmetlerde de kullanırsa, tüm hizmetler aynı anda tehlikeye girer. Resmi olmayan uygulamalarda yetkilendirme yaptığınızda “bir sosyal ağ ile veya bir sosyal ağ aracılığıyla” oturum açmak söz konusu değildir , hesap verilerinizi kasıtlı olarak bütünlüğü garanti edilemeyen üçüncü taraflara aktardığınızı unutmayın. Roskachevo öneriyor: bu tür uygulamaları yüklemeyin; yalnızca resmi mobil istemcileri kullanın
Roskachestvo misafir Vkontakte uygulamalarını ne için test etti? Kullanıcılar için hangi özelliklerin önemli olduğunu değerlendirdiler mi? Uygulamaların performansı ve güvenilirliği gibi faktörleri de dahil ettiler mi? Sonuçlar nasıl oldu? Hangi uygulama önerilir?