1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

А ВК взломать можешь?» - Интернет-безопасность [Статья первая]

Тема в разделе "Чужие", создана пользователем bylie640, 17 дек 2017.

  1. TopicStarter Overlay
    bylie640

    bylie640

    Регистрация:
    14 апр 2013
    Сообщения:
    208
    Симпатии:
    68
    [​IMG]
    Всем привет! Сегодня я бы хотел рассказать вам о на мой взгляд не совершенстве защиты API ВКонтакте которое позволяет получить практически полный контроль над вашим аккаунтом.

    Предисловие
    Текст я пишу очень доступным языком для человеков далеких от безопасности и веб разработки.

    Начнем...
    Я думаю многие из вас хоть раз пользовались например альтернативными клиентами ВКонтакте, а знали ли вы что разработчики этих приложений один раз получив ваш API ключ доступа к аккаунту могут полностью контролировать ваш аккаунт (Читать переписки, писать и удалять сообщения, ставить лайки и многое другое) о чем вы даже не узнаете?

    Как это происходит?

    Все очень просто, у ВКонтакте есть API [Войти или зарегистрироваться, чтобы увидеть ссылку.] для Standalone-приложений которое позволяет один раз получив API ключ для вашего аккаунта - иметь 24/7 доступ к вашему аккаунту и самое страшное что вы об этом ни как не узнаете.

    Как мне защитится от этого?

    Если бы от этого можно было легко защитится - я бы не писал этот пост. Проблема в том что подтвердить авторизацию может любое приложение на компьютере, на телефоне (тот же не официальный клиент ВКонтакте) или плагин для браузера - тем самым устанавливая любой плагин, программу или клиент для смарфона - вы подвергаете себя опасности того что например всю вашу переписку кто-то читает. И даже если вы выйдете из аккаунта и удалите приложение которое сохранило ваш API ключ - вы остаетесь подвержены той же опасности что и после установки этого ПО.


    Но тем не менее есть способ проверить какие приложения имеют доступ к вашему аккаунту.
    На странице настроек ВКонтакте (Войти или зарегистрироваться, чтобы увидеть ссылку.) есть список приложений имеющий доступ к API работы с вашим аккаунтом:
    [​IMG]
    Подобные приложения (Имеющие доступ к вашему аккаунту круглосуточно) могут быть опасными (Все зависит от честности разработчика), по этому советую удалять то чем вы не пользуетесь (Хотя скрипту полностью "слить" все ваши переписки займет секунд 5).

    Пример
    Предупредив друга я попросил установить его плагин для браузера который незаметно для него авторизовался в приложении и выслал мне его API ключ (тем самым я получил доступ к его диалогам)
    [​IMG]

    Что я считаю ВКонтакте не хватает

    Я думаю что пользователям надо дать возможность установить возможность дополнительного подтверждения авторизации в Standalone-приложениях, присылать пользователю извещение по почте о том что была авторизация в подобном приложении а так же ввести упрощенное логирование API запросов приложений (Хотя бы дату последнего обращения в списке приложений). Но как обычно это у нас не баг - а фича

    Заключение
    Назвать выше написанное уязвимостью, багами или чем-то подобным нельзя, с таким же успехом человек может подарить доступ к аккаунту установив амиго-браузер или написав кому-то свой пароль. Моя цель была просто донести до вас то что мир тлен надо внимательно относится к своему аккаунту и периодически менять свой пароль и удалять не используемые приложения.
     
    Метки:

Поделиться этой страницей

Загрузка...