Приложение «ВКонтакте» содержит шпионские функции фото
Приложение «ВКонтакте» содержит шпионские функции
- 01.08.2017 в 15:31

Разработчик Владислав Велюга обнаружил в фирменном приложении «ВКонтакте» подозрительные функции. Они могут использоваться для шпионажа за пользователями, утверждает разработчик.

Велюга исследовал трафик, прошедший через снифер, чтобы найти особенности, по которым API «ВКонтакте» фильтрует приложения для получения музыки. Однако помимо запросов, которые относились к делу, разработчик нашёл и другие.

Только при сниферинге процедуры авторизации и нескольких минут работы приложения после неё, в том числе при прослушивании аудиозаписей, Велюга нашел запросы для составления списка пользовательских приложений. Зачем «ВКонтакте» список всех приложений, установленных на смартфоне, непонятно.

Кроме того, приложение отправляет запросы с участием сервиса vigo.ru. Он предназначен для аналитики при передаче, поиске ошибок и проблем при проигрывании и обработке видео. Однако Велюга не запускал видеоролики, пролистывал стену, на которой не было видео, и переходил в аудиораздел. А запросов с участием видеосервиса было 5-7. Изначально сервис действительно должен был обеспечивать подстройку качества видео под скорость интернета. Но вышло, как всегда.

Разработчик также был возмущён тем, что приложение «ВКонтакте» отправляет местоположение пользователя и все его действия. Кроме того, оно делает бенчмарки, регулярно передает время запроса к API и время загрузки изображений.

Более того: приложение собирает данные о точках доступа Wi-Fi и базовых станциях рядом с пользователей, напрямую получает IMEI телефона, данные об операторе. Вся информация отправляется на clientapi.mail.ru.

Велюга обнаружил загрузку невидимой WebView со страницей m.vk.com/counters.php, а после неё – двух метрик-пикселей. Он предположил, что это может выполняться для накрутки статистики.

Коллеги разработчика также исследовали приложение и обнаружили, что оно сливает довольно много пользовательских данных.

Администрация «ВКонтакте» достаточно быстро узнала о разборе приложения и опубликовала свою версию того, зачем приложению столько данных:


Высказалась и мобильная техподдержка. Правда, зачем данные передаются на clientapi.mail.ru, оператор не уточнил – ушел от ответа:

CHЁ ЕЩЁ
Advertisment ad adsense adlogger

!