900

«А ВК взломать можешь?» - Интернет-безопасность [Статья первая]

«А ВК взломать можешь?» - Интернет-безопасность [Статья первая] IT, Интернет, Информационная безопасность, Интересное, Вконтакте, Дуров, Дуров верни стену, Длиннопост

Всем привет! Данная статья посвящена моим 8 подписчикам (Намек думаю поняли), сегодня я бы хотел рассказать вам о на мой взгляд не совершенстве защиты API ВКонтакте которое позволяет получить практически полный контроль над вашим аккаунтом.

Предисловие

Текст я пишу очень доступным языком для человеков далеких от безопасности и веб разработки, посему МегаСуперХацкеров и ДаЯПрограммист'ов эта статья может повернуть в профессиональный шок, по этому любезно даю ссылку на главную страницу пикабу.

Начнем...

Я думаю многие из вас хоть раз пользовались например альтернативными клиентами ВКонтакте, а знали ли вы что разработчики этих приложений один раз получив ваш API ключ доступа к аккаунту могут полностью контролировать ваш аккаунт (Читать переписки, писать и удалять сообщения, ставить лайки и многое другое) о чем вы даже не узнаете?

Как это происходит?

Все очень просто, у ВКонтакте есть API [Что это такое?] для Standalone-приложений которое позволяет один раз получив API ключ для вашего аккаунта - иметь 24/7 доступ к вашему аккаунту и самое страшное что вы об этом ни как не узнаете.

Как мне защитится от этого?

Если бы от этого можно было легко защитится - я бы не писал этот пост. Проблема в том что подтвердить авторизацию может любое приложение на компьютере, на телефоне (тот же не официальный клиент ВКонтакте) или плагин для браузера - тем самым устанавливая любой плагин, программу или клиент для смарфона - вы подвергаете себя опасности того что например всю вашу переписку кто-то читает. И даже если вы выйдете из аккаунта и удалите приложение которое сохранило ваш API ключ - вы остаетесь подвержены той же опасности что и после установки этого ПО.

Но тем не менее есть способ проверить какие приложения имеют доступ к вашему аккаунту.

На странице настроек ВКонтакте (https://vk.com/settings?act=apps) есть список приложений имеющий доступ к API работы с вашим аккаунтом:

«А ВК взломать можешь?» - Интернет-безопасность [Статья первая] IT, Интернет, Информационная безопасность, Интересное, Вконтакте, Дуров, Дуров верни стену, Длиннопост

Подобные приложения (Имеющие доступ к вашему аккаунту круглосуточно) могут быть опасными (Все зависит от честности разработчика), по этому советую удалять то чем вы не пользуетесь (Хотя скрипту полностью "слить" все ваши переписки займет секунд 5).

Пример

Предупредив друга я попросил установить его плагин для браузера который незаметно для него авторизовался в приложении и выслал мне его API ключ (тем самым я получил доступ к его диалогам)

«А ВК взломать можешь?» - Интернет-безопасность [Статья первая] IT, Интернет, Информационная безопасность, Интересное, Вконтакте, Дуров, Дуров верни стену, Длиннопост

Что я считаю ВКонтакте не хватает

Я думаю что пользователям надо дать возможность установить возможность дополнительного подтверждения авторизации в Standalone-приложениях, присылать пользователю извещение по почте о том что была авторизация в подобном приложении а так же ввести упрощенное логирование API запросов приложений (Хотя бы дату последнего обращения в списке приложений). Но как обычно это у нас не баг - а фича 🤗

Заключение

Назвать выше написанное уязвимостью, багами или чем-то подобным нельзя, с таким же успехом человек может подарить доступ к аккаунту установив амиго-браузер или написав кому-то свой пароль. Моя цель была просто донести до вас то что мир тлен надо внимательно относится к своему аккаунту и периодически менять свой пароль и удалять не используемые приложения.

P. S.: Если хотите больше подобных статей (Интернет безопасность, программирование, жизненные истории), жду вас в подписчиках 🤔

«А ВК взломать можешь?» - Интернет-безопасность [Статья первая] IT, Интернет, Информационная безопасность, Интересное, Вконтакте, Дуров, Дуров верни стену, Длиннопост

Дубликаты не найдены

+32

один раз получив API ключ для вашего аккаунта - иметь 24/7 доступ к вашему аккаунту

@Coderast, Вот тут ты не прав. Сейчас token (тот самый ключик) меняется автоматически раз в 2-3 суток, и его можно самому поменять, просто поменяв пароль, либо нажать "Завершить сессию на всех устройствах". Таким образом, поменяв token, злоумышленник больше не сможет зайти на Ваш аккаунт. До тех пор, пока опять его не получит.


Автор, раньше token не менялся, сейчас все по-другому... Стоит это упомянуть

раскрыть ветку 21
+12

Да и в любом случае ничего из выше перечисленного УВЫ пользователи почти не тукают или тыкают по праздникам

ещё комментарии
+2

Я упомянул о смене пароля. По поводу выхода на всех устройств ты прав, об этом забыл упомянуть. Но по поводу авто замены раз в 2-3 суток - ты не прав я эту "фичу" уже второй месяц юзаю на своем аккаунте что бы обрабатывать сообщения

раскрыть ветку 13
0

Однако я сам лично  "игрался" и у меня ключ менялся через какое-то время, при чем активности на аккаунте не было...

раскрыть ветку 1
0

т.е. автоматически меня никто не защитит? А как быть, если приложения нужны, например, для углубленного изучения статистики групп (занимаюсь SMM), а рисковать данными не хочется? Воруют ли официальные приложения, типа ВК для Андроид, Вк статс и иные моим данные?

раскрыть ветку 7
-1

так если завершить сеансы всех устройств? С новым паролем, по идее, это вообще автоматом. В дополнение нажать волшебную кнопочку как на картинке. Или и правда все так плохо?

Иллюстрация к комментарию
раскрыть ветку 2
+1

Если ты токен со скоупом offline запросил, то он будет практически бесконечным

0

Уже больше года есть доступ к одному аккаунту. Что-то доступ никуда не пропал. 😳

0
Полностью согласен.
+8
Контач уязвим, как ни крути. Самая важная мера предосторожности, это не хранить в соцсетях ценную инфу.
раскрыть ветку 28
+2
Ну я не об уязвимости рассказываю, а на мой взгляд недочет. А вообще вконтакте так же уязвим как и другие сайты (к сожалению)
-16

У меня так в Вк что-бы зайти с другого устройства(IP) то надо ввести специальный код который придет по СМС, потом подтвердить вход на аккаунт при помощи приложения ВК а еще потом требует специальный код пришедший на email.
Я наверное защищен лучше чем президент...

раскрыть ветку 26
+20
Эта защита для прямой авторизации по паролю а не API. То о чем ты пишешь не поможет
раскрыть ветку 25
ещё комментарии
+9

главное что с одноклассниками все хорошо. ставь класс если ты доволен!

раскрыть ветку 1
+12
Иллюстрация к комментарию
+3
Спасибо за информацию. Позакрывал доступ всякому трешу. Буду проводить ревизию периодически.
+5
по симу МегаСуперХацкеров
чем-то подомным нельзя

посему


подобным


Пока что в шоке только граммарнаци )))

раскрыть ветку 3
+6

Спасибо! Исправил, я последние 2 года на литовском языке в основном общаюсь, чуток наблюдаю за собой провалы в знаниях русского) Еще и с знаками препинания там кошмар)))

раскрыть ветку 2
+6

Ну-у, в данном случае не столько провал, сколько невнимательность или спешка... Ничего страшного!

раскрыть ветку 1
+3

Такс))) Когда пост (не комментарий) наберет 1000 плюсов или 500 подписчиков (Уже почти половина набрана) я начинаю писать софтину для демонстрации как это все работает и выкладываю новым постом (с открытым исходным кодом). Да я очень корыстен, но думаю это честно 😅

Иллюстрация к комментарию
раскрыть ветку 7
0
Продолжение будет?

Пост уже до 1000 не наберет, из ленты вылетел, а все кто хотели - уже проголосовали)

раскрыть ветку 1
0

Будет чуть позже (В течении недели)

0

P. S.: Не для массового использования а для того что бы те кто не верит мог на себе проверить.

раскрыть ветку 4
0

а вы в техподдержку вк писали ? я слышал там вроде за нахождение всяких фич(дыр,багов и всякого такого) дают вознаграждение.

раскрыть ветку 3
+2

Хочу еще раз напомнить что цель статьи только информирование, ничего большего.

раскрыть ветку 3
+3

Отче, ты открыл нам глаза.

раскрыть ветку 1
0

Детё мое, я рад что открыл тебе твои очи!

0

но срач никто не отменял)

+1
Уговорил, плюс один подписчик.
раскрыть ветку 3
+1

Глоток чая за тебя

раскрыть ветку 2
+1
С козинаками?
раскрыть ветку 1
+1
Автору спасибо за пост
Хотелось бы вопрос, а реально ли вообще ак со вмеми логами выпилить ?)
раскрыть ветку 3
+1

Данные хранятся на серверах ВК, хоть ты удали все переписки, фото и акк - всё равно останутся данные у них

раскрыть ветку 1
0

эти данные можно как-то легально или не очень легально, оттуда вытащить? Например если это данные моего аккаунта, которые были удалены пару лет назад.

0
Не совсем понял вопром, но по тому что понял - да
0

Шел 2018, а второй статьи нет. А тема то интересная, и "уязвимость" реальная только вот сделать, что бы токен сам скопировался и отправился тебе автоматически не каждый второй сможет, а уговорить человека скинуть текст под которым жирным шрифтом написано: "Никому не отправляй а то аккаунт уведут" задачка не вот прям легче, вот как раз ворошил просторы форумов в поисках кого-нибудь кто делал так "что бы токен сам скопировался и отправился тебе автоматически" - перед тем как самому запариваться, решил проверить может и не нужно ничего придумывать, а все уже за меня сделано.

Надеюсь вторую часть таки сделаешь, ну или хоть не ее именно, но на эту же тему пост, в конце концов эта приблуда все еще работает.

раскрыть ветку 1
0

Привет, приятно что еще кто-то помнит о этих статьях. Думаю в течении месяца-двух напишу продолжение. Просто забегался сильно и переезд намечается :)

0

извиняюсь за некропостинг)

получается если он установил написанный тобой плагин, ему еще надо будет нажать кнопку подтверждения доступа этого плагина к данным?

раскрыть ветку 3
0

Привет. Неа :) Плагин сделает всё сам

раскрыть ветку 2
0

жесть, интересно почему такая уязвимость еще не закрыта

раскрыть ветку 1
0

Расскажи пожалуйста вот что: какие сервисы помогают понять, что интернет знает о тебе, о твоих данных, и как попробовать их удалить? Про гугл-аккаунты все ясно, а другие сервисы? Понять на каких сайтах ты регался к примеру, и т.д.
Капец как актуально.

0
Если хочешь подробнее поболтать насчет похудения пиши в скайп ozymandiaru, пару советов дам.)
0
Разве можно получить права без прямоно апрува от юзверя? Ну там что бы он сам разрешил доступ не только к странице, но и к сообщениям / документам (а что там кроме них ценного вообще?)
0

Вопрос: у меня стоит авторизация по паролю, который генерируется на телефоне (то есть не SMS всякие там), и без этого пароля никто пройти авторизацию не может. Мой акк все равно продолжает быть уязвимым (пользуюсь одним сторонним клиентом ВК на телефоне)?

раскрыть ветку 1
0

Да уязвим

0

@Coderast Можешь ответить на пару вопросов ? За потраченное время заплачу . Только скажи . Можешь свой вк дать , или мне напиши vk.com/id386744841

0
Я ошибаюсь или по той же самой технологии работают сервисы для сайтов, которые позволяют отслеживать профили ВК всех посетителей?
раскрыть ветку 2
0

Не ошибаетесь

раскрыть ветку 1
+1

Товарищ по имени Lexx знаком Вам??

0

Я тут в закладки в Вк защел и увидел кучу фоток,которые я вижу в первые.
Можешь подсказать как забрать свои лайки назад?

раскрыть ветку 6
+2

Клик по лайку снимет его

раскрыть ветку 2
0

Нууу,мне придется таким способом провести времени больше,чем в армии.Картинок так миллион

раскрыть ветку 1
0

В ВК не предусмотрен такой функционал, а с таким я не сталкивался если честно...

раскрыть ветку 2
0

Это конечно печально.Помню через скрипт,удалил более сотни человек,которым кидал заявку в друзья.

раскрыть ветку 1
0

мир тлен? мы и так знали

раскрыть ветку 2
0

Блин зови модера, я обаянился :(

раскрыть ветку 1
0

))

0
@Coderast, спасибо за совет. Я почистил приложения, но остался вопрос. Модуль взаимодействия с API удалять?
раскрыть ветку 6
0

Можешь скинуть скриншот? не очень понял что ты под "Модуль взаимодействия с API" подразумеваешь?

раскрыть ветку 5
0
раскрыть ветку 4
0

Кстати, VK API что-то на днях перестал меня пускать. Ещё не разбирался, но уже настораживает.

Security, пишет, error. И что ему только не нравилось...

0

Ну вот получишь ты API и что ты с ним делать будешь? Нельзя же войти на аккаунт зная только API

раскрыть ветку 2
+1

Можно 😊

0
Комментарий удален. Причина: данный аккаунт был удалён
0

а как можно понять, какие приложеньки официальные а какие нет?
вот это, например, потенциально опасно или оно системное какое то?

Иллюстрация к комментарию
раскрыть ветку 3
+1

Цитата: " [VKDAPI] - это приложение которое используется ВкОптом для взаимодействия с сайтом. (id приложения 2168679)". На сколько достоверна не знаю.

+1

А сам как думаешь потенциально опасное или нет? Этому приложению разрешены практически любые действия с твоего акка, плюс токен бесконечный. С такими правами у приложения все остается на совести разработчика.

0
Никакие сервисы вконтакте там не отображаются
0
Спасибо Бро, удалил от туда всё))
А не подскажешь, на сколько безопасно хранить пароли в автозаполнялке в браузере?
раскрыть ветку 4
0

https://xakep.ru/2016/04/25/passwords-leaks/ - тут подробно описано какими прогами лучше восстанавливать забытые (?) пароли в браузерах ;)

0
Ну я храню, пока не ломали. Но я и не устанавливаю ничего на ПК (только лицензионное по) и не храню на нем ничего важного, работаю с мака - там непреступная крепость.
раскрыть ветку 2
0

ТОЛЬКО ЛИЦЕНЗИОННОЕ ПО? Вот я и нашёл идеально безгрешного человека! А вы говорили что таких не существует, верующие! Шах и мат!

Парень, ты замолви за меня в раю словечко))

раскрыть ветку 1
0

я вроде все понял, но се равно сложнаа

раскрыть ветку 1
0
Я пытался максемально доступно написать 😞
0

Суть всей статьи. Куда логин с паролем ввел, туда их и слил.

Автор! Ждем статью про опасности установленных дополнений в браузере.

К примеру блокировщики рекламы. (Для тех кто не знает как они работают)

раскрыть ветку 19
+2
Нет, я говорю не о вводе логина и пароля, а как раз о способе получения доступа без ввода логина и пароля действиями которые почти мы все совершаем и не думаем о том что это может быть не безопасно.
раскрыть ветку 17
+2
Изначально человек провел сеанс авторизации через приложение\дополнение. Это и есть слитие ID. Этого достаточно для выполнения дальнейших действий.

Я хотел предложить расширить данную тему за пределами VK. К примеру, установка всего подряд на android\apple телефон с подключенным банк клиентом.

(особенно с полученным root)

раскрыть ветку 15
0

напиши уж тогда широкой публике про OAuth2 думаю тогда будет более понятно про что речь)

+1
Говорится о угрозе апи
0

Блин, Пикабу, че ты удалил зачеркнутый текст в 1 месте и все курсивы из статьи?  

Иллюстрация к комментарию
0

вот у меня вопрос, если можно..


у подруги был акк в вк, его украли.. В один прекрасный  день она не смогла войти, фото поменялось, другие сообщения пошли не от ее имени. Самое странное, что она этим акком не пользовалась, ни одной записи, 1 друг (сестра) и все. Зачем его тырить было?

раскрыть ветку 19
+2

Не знаю, я подобным никогда не занимался, но думаю это был простой брут. Аккаунт украли и позже продали (Есть магазины продающие аккауны вконтакте), ну вот так им распорядился новый покупатель.

раскрыть ветку 6
0
Брутом не занимаются с палеолита минимум, это фишинг.
раскрыть ветку 5
0
Это брут по паролю от почты, иногда нужны пару десятков акков, береш чекер и смотришь где есть совпадения, потом на свою почту перебиваешь аки и все они твои))
раскрыть ветку 2
0

а зачем это делать?

раскрыть ветку 1
0

Ну много целей можно придумать. Допустим у тебя в распоряжении 1000 аккаунтов. С их помощью ты можешь оставлять нужные комменты в группах, лайкать, всякие отзывы оставлять. Тип придёт в такую компанию смотрит отзывы, а там все положительные.

раскрыть ветку 5
0

ну так а чего не создать 1000 акков новых.. разве проще украсть 100 акков?

раскрыть ветку 4
0

очевидно это не целенаправленный угон именно этого, беспонтового, аккаунта был.

раскрыть ветку 2
0

зачем? не проще ли создать новый?

раскрыть ветку 1
0
Так так, я что то не в курсе? Приложение как авторизовывается? OAuth?
раскрыть ветку 1
0

Oauth просто для Standalone приложений (Авторизация для приложений а не сайтов, почитай, в них ограничений потому что нету, но редирект URL после авторизации отстуствует... Хз как объяснить что бы понятно было - https://vk.com/dev/standalone)

Иллюстрация к комментарию
-1
Ждем ссылку на плагин для браузера, чтоб разводить своих друзей:)
раскрыть ветку 8
+1

Я могу конечно пример написать но как раз боюсь что будут так делать

раскрыть ветку 7
-1

Не надо. Там и так слишком просто, чтобы ещё и показывать кому-то. Ведь будут же злоупотреб...ть.

раскрыть ветку 4
-1

ждем,ждем,ждеем)

раскрыть ветку 1
-3

Если ты параноик, или качаешь сомнительные плагины/расширения:

Легче сделать привязку к телефону, чтобы каждый раз при входе тебе смс с кодом приходило для авторизации, а если не с твоего компа попытались авторизоваться, ты об этом узнаешь.
Вроде давно уже есть такая функция у Вконтакте.

раскрыть ветку 1
+1
Мы не об.авторизации, а о апи говорим
-3
Ссылку или название на приложение для браузера которое даёт доступ к диалога дать можешь?
раскрыть ветку 1
+1
Ты видимо не так понял статью, тут немного о другом говорится...
-3
Так вк взломать можешь?)
раскрыть ветку 3
+1

Конечно может. До тех пор пока ты не поставишь элементарную авторизацию через доверенный ip, это одним кликом делается, к слову.

раскрыть ветку 2
0

Ну все же двухфакторная авторизация более менее спасает (если, конечно, не ставить левые apk на Андройд и не джейлбрейкать IPhone, а еще лучше юзать 3310).

P.S. Хотя на способ, описанный в статье, это не распространяется, но методов борьбы с взломом через "скажите нам логин, пароль, код из смс, CVC" нету, кроме как думать головой

раскрыть ветку 1
-7

Двухэтапная аутентификация, официальный клиент "Вконтакте" и не ебёт! Учебника русского языка тебе не хватает, пёс!

раскрыть ветку 1
0
По легче, не все же как ты использую только официальное ПО. Я правда рад что ты защищен.
-17

Ну ты дырками играешься, ну как школьник...

раскрыть ветку 2
+5

Это мое хобби которое меня подкармливает (А так занимаю программированием).

ещё комментарии
ещё комментарии
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: