Приложения для обхода украинских блокировок небезопасны

В мае 2017 года на территории Украины указом президента был ограничен доступ к услугам и сервисам ряда российских компаний, среди которых были социальные сети «ВКонтакте» и «Одноклассники». Разумеется, это привело к росту популярности средств обхода блокировки, в том числе Tor, VPN и анонимайзеров.

Кроме того, в сети и каталогах приложений стали появляться программы, предоставляющие аналогичную функциональность, но компания «Доктор Веб» предупреждает, что далеко не все они безопасны.

Исследователи обнаружили в каталоге Google Play опасные приложения, которые позволяют работать с заблокированными сайтами в обход блокировки. Для доступа к социальным сетям владельцам Android-устройств предлагается указать свой логин и пароль, после чего приложения выполняют вход в учетную запись пользователя в обход ограничения. Суммарно было выявлено восемь таких программ, которые распространяются разработчиками JDX Studio, Soukaina Bousfiha, Zikolabs, Boubakri yassir, affzakanab и simon faiz.

Специалисты отмечают, что все приложения очень похожи. Они устанавливаются на мобильные устройства как программы под именами «ВК В Украина», «ВК Украина», «ВК Украина 2», «ОК Украина», «Украина ОК», «ВК VPN Украина.», «ВК Украiна» и «ВК Украина VPN»» и имеют схожие иконки. В общей сложности их скачали более 122 000 пользователей.

Проблема заключается в том, что для обхода блокировки эти приложения перенаправляют трафик через онлайн-анонимайзеры. Введенные логин и пароль передаются серверу в незашифрованном виде, поэтому ничто не мешает его владельцам использовать полученную информацию в незаконных целях. При этом пользователь не знает, что авторизуется в социальной сети через сторонний домен, так как в приложениях не отображается адресная строка.

Дальнейшая работа с сайтами «ВКонтакте» и «Одноклассники» посредством данных программ также происходит без шифрования, что позволяет третьей стороне контролировать все выполняемые пользователем действия.

Пример авторизации «Вконтакте»:

POST http://0s.nrxwo2lo.ozvs4y3pnu.cmle.ru/?act=login&_origin=https://m.vk.com&ip_h=**********0498a292&lg_h=*****5c42
HTTP/1.1 d1f02471f&role=pda&utf8=1
Host: 0s.nrxwo2lo.ozvs4y3pnu.cmle.ru
Connection: keep-alive
Content-Length: 36
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://0s.nu.ozvs4y3pnu.cmle.ru
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Linux; Android 5.1; Philips S337 Build/LMY47D; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0
Chrome/46.0.2490.76 Mobile Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://0s.nu.ozvs4y3pnu.cmle.ru/
Accept-Encoding: gzip, deflate
Accept-Language: ru-RU,en-US;q=0.8
Cookie: remixlang=0; remixlhk=********c478eec1ba
X-Requested-With: com.ukraina.vk
email=%2B79650******&pass=**********

«Даже если предположить, что такой безответственный подход к защите конфиденциальных сведений со стороны владельцев анонимайзера и авторов приложений продиктован ошибкой или элементарным незнанием основ информационной безопасности, нет никакой гарантии, что незашифрованный сетевой трафик не перехватят злоумышленники», — пишут специалисты.

Потенциально опасные приложения получили идентификатор Program.PWS.1, и исследователи уведомили уже о проблеме сотрудников Google. Так как пока приложения еще не были удалены из официального каталога, специалисты рекомендуют не загружать их, или удалить и не использовать до тех пор, пока разработчики не внесут необходимые изменения в их работу.

Поделиться в: