«Лаборатория Касперского» заявила, что обнаружила масштабную аферу по хищению учетных данных пользователей «ВКонтакте» через приложение для проигрывания музыки. Жертвами хакеров, по данным компании, могли стать сотни тысяч человек, говорится в сообщении на сайте компании. Для хищения информации использовалось приложение для прослушивания музыки под названием «Музыка ВКонтакте». Жертвы скачивали его из официального магазина Google Play, где собрано программное обеспечение (ПО) для Android-устройств. По грубым оценкам «Лаборатории Касперского», число пострадавших может исчисляться сотнями тысяч.
Кража данных происходила после того, как пользователь авторизовался в приложении, то есть вводил свои логин и пароль, установленные для доступа в свой аккаунт «ВКонтакте». Примечательно, что злоумышленники проверяли подлинность этих данных, отправляя их на легитимный сервер аутентификации oauth.vk.com, отмечают в «Касперском», а пользователи не догадывались о вредоносности программы, поскольку она справлялась со своей заявленной функцией — проигрывала аудиозаписи из «ВКонтакте».
Впоследствии злоумышленники чаще всего использовали украденные сведения для добавления аккаунтов пользователей в различные сообщества, которые собирались «раскручивать» в социальной сети. Однако в ряде случаев похитители просто меняли пароль, присваивая себе учетную запись.
Пресс-секретарь соцсети Георгий Лобушкин заявил, что пользователи «ВКонтакте», столкнувшиеся с хищением информации через приложение для проигрывания музыки, фактически добровольно отдали мошенникам свои данные.
Пользователям ВКонтакте, использовавшим сторонние приложения, рекомендуется в срочном порядке сменить пароли и активировать двухфакторную аутентификацию.
UPD
fuCtor:
Для приложений не поддерживающих двухфакторку есть возможность генерации пароля (мои настройки -> безопасность -> настроить пароли приложений), который потом при необходимости можно удалить
maximw
Двухфакторная аутентификация не поможет от по-сути MiTM атаки. Пользователи как отдавали пароль, так отдадут и код из смс.
Chikey
Двухфакторная аутенфикация вообще никогда не поможет, если человек использует парольный менеджер.
nmk2002
Chikey, чем вам не угодил парольный менеджер?
Chikey
Я помоему четко сказал если человек уже использует парольный менеджер то ТОТП или СМС в большинстве случаев никак не помогают в модели атаки. Минусуют ламеры не умеющие думать своей головой. Более подробно писал тут sakurity.com/blog/2015/07/18/2fa.html
nmk2002
Думаю, что вас минусуют потому, что ваше сообщение двусмысленно.
Скорее всего я как и минусующие(справедливости ради замечу, что я не минусовал) прочитал так: «Если вы используете парольный менеджер, то все уже настолько плохо, что никакой второй фактор вас не спасет.»
После прочтения вашего топика на sakurity стало понятно, что вы имели в виду: «Если вы используете парольный менеджер, то двухфакторка не добавит вэлью».
С общей мыслью неэффективности 2FA не согласен. Если есть способы завладеть вторым фактором, это не отменяет того, что наличие второго фактора затрудняет задачу злоумышленника.
Chikey
Понятно что затрудняет. Вопрос насколько? На 5 процентов? Потому что всего то требуется выудить с помощью попапа еще один код и дальше делать что угодно. По сути security through obscurity
nmk2002
Если говорить про конкретный случай, описанный в топике, то пользователям, которые вводят пароли в непонятные приложения мало что поможет. Музыку то послушать очень хочется, а тут хорошие люди такое приложение удобное сделали. Ну как им не доверить свой пароль?
Проблема данного примера в том, что пользователи не понимают, что нельзя всем раздавать ключи от своей квартиры.
А в целом по теме 2fa: Многофакторная аутентификация бывает разная и не везде преусмотрена защита от глупостей пользователя. Но даже одноразовые пароли успешно защищают от большого количества типов атак на парольные аккаунты.
Chikey
Мой коммент не имел отношения к теме поста а просто уточнение. Одноразовые пароли не защищают от атак на пользователей использующих парольные менеджеры. В лучшем случае сокращают время эксплуатации.
nmk2002
Пароль могут утащить с компьютера пользователя, а seed и counter таким образом скомпрометировать нельзя.
Злоумышленник может попытаться сбросить пароль жертвы через восстановление пароля.
Ну и да, время эксплуатации скомпрометированной учетной записи сокращается: для каждого платежа в интернет-банке потребуется еще один OTP.
Jeditobe
Этот совет только для одумавшихся и понявших жизнь, чтобы компенсировать ошибки прошлого.
egorsmkv
Кто первый?
http://xn-----6kcaclwmxecbtto1bujcjc4f0eta.xn--p1ai/ap/admin.php
anmiles
Что это?
zxcabs
Чем не устраивает стандартное вк приложение? Там же можно музыку слушать…
Arik
Не знаю точно как под андроид, но под iOS убрали прослушку музыки с офф приложения, а до этого как минимум не было кэша, каждый раз дергал с интернета. Новость конечно про приложение под андроид, но может такие же были причины выбирать стороннее приложение для прослушки музыки
heilage
Под андроидом пока еще можно.
Скорее всего людям не хватило стандартной функциональности приложения.
Denai
Откуда вообще уверенность что они подозревают о существовании официального приложения? Я регулярно вижу как гуглят не-гики, они совершенно не различают «официальные» и какие-то другие сайты/приложения и выбирают исключительно по красоте иконки и забавности названия
Grim_dev
Плюсую предыдущему оратору, таже ситуация и с дровами, вот спрашивается почему люди не идут на официальные сайты за драйверами для их принтеров, видях, и прочего? Я еще понимаю с варезом… но когда наблюдал картину как местный офисный планктон качает с непонятного сайта непонятную сборку гуглхрома только потому что она оказалась первой в выдаче поисковика ( не гугл) встает вопрос о психическом здоровье этих людей.
om2804
Всё просто. На официальных сайтах бывает очень сложно их найти, т.к. спрятаны где-нибудь в Сервис -> Поддержка -> выберите продукт -> выберете ОС -> выберете ещё что-нибудь -> а теперь среди кучи всего попробуйте найти то, что нужно.
А про поиск на сайте догадываются не все. Плюс он не всегда там адекватно работает
Поэтому «простым» пользователям проще загуглить «скачать драйвер ...» и поставить трояна на свой ПК
Grim_dev
Посему — всем своим родственикам, коих парк ПК мне приходится поддерживать добровольно принудительно, выдаю запрет в политиках на доступ к установке драйверов и по, лучше уж отвлекусь после работы, по удаленке поставлю, что требуется, чем потом приехать в гости и просидеть пол дня вычищая зловредов из всех щелей. А куда можно впаиваю ubuntu, бабушке какая разница из чего с внуком созваниваться и в однокласниках висеть, а так как зловредов под десктопные *nix несравнимо меньше чем под окна, так хоть безопаснее. Но вот затю после очередного полного вычищения ПК со сносом ОС ( ох не хотел этого делать, но пришлось) поставил фриз на системы диск. Кстати о фризе — спасибо кейсу на хабре 2012 года по моему, полезная штука хоть и загрузка дольше.
makaroff
Интересно, iOS версия также действовала?
Mendel
Тот же вопрос. Буквально неделю назад скачал его, посмотрел на предложение ввести логино-пароли от вк или просто зарегистрироваться и пользовать просто поиск музыки, и удалил… смотрел на него, смотрел. Долго боролся между «да пофиг, у меня двуфакторная, да и криворуких разрабов которые не умеют дружить между собой кучу чужих криворуких апи бывает много, сам часто такой же, и вообще официальный же шоп эпловский», но зануда победил, я его снес и поставил другой известный музыкальный сервис, который с контактом не коннектится…
Woit
в iOS приложении достаточно ввести в адрес /audio, если мне не изменяет память
urix
Под iOs можно сделать прослушивание музыки, есть для этого простой хак
navion
И какой же?
vk.com/audio в адресной строке открывает страницу в Safari.
AndyRoss
Это приложение позволяло не только слушать, но и скачивать музыку на девайс. Тоже пользовался им однажды – отсутствие нормального oauth входа тогда очень смутило, но положительные отзывы и желание поставить любимую мелодию на рингтон возобладали над здравым смыслом. Правда было это уже больше года назад. Возможно тогда данных ещё не собирали :)
crypby
Собирали. Вспоминаю, что для залогивания тоже удивился отсутствию oauth и невозможности использовать акк с двухэтапной аутентификацией. Пришлось отключить конкретно для залогивания там двухфакторную, а потом опять включать. Кстати, время от времени контакт потом предупреждал, что кто-то пытался зайти в аккаунт, но у него не получилось за незнанием второго временного кода. Айпишники все были Украинские.
Потом начал юзать Яндекс.Музыку и удалил.
fuCtor
Для приложений не поддерживающих двухфакторку есть возможность генерации пароля (мои настройки -> безопасность -> настроить пароли приложений), который потом при необходимости можно удалить.
nikitosk
Как оно выглядело хоть?
crypby
Вот такое окно всплывает ВК, но само и уплывает через пару секунд.
jacob1237
А как же антивирус Cezurity? Неужели не помог?)))
ssp2
Наверно продукты Касперского любили бы больше, если бы в их информационных сообщениях было меньше пиара, а больше полезной информации. Я прошёл по всем их ссылкам по этой теме, но найти инфы о том, что же это за приложение (кто издатель, версии, точное название) так и не смог. Подобных приложений на маркете с десяток. Так и чешутся руки поставить их антивирус и «решить все проблемы».
anmiles
Да хоть с сотню.
Крайне не рекомендуется пользоваться чем-либо кроме официального. Это и без антивируса понятно.
exIV
На самом деле пиар Касперского, причем совсем не самый белый. Что приложение производило аутентификацию через свою форму еще не говорит о «злонамеренности» разработчкиов. Это может говорить просто о том что им было удобней сделать именно так (например потому как токен аутентификации ВК для приложений действителен только СУТКИ, и человеку пришлось бы иначе каждый день заново вводить пароль чтобы послушать музыку). Но откуда это знать в Лаборатории Касперского-то? Главное ведь громко крикнуть, да? Конечно кривовато и плохо пахнет, но кричать о том что разработчики преступники (а именно это вытекает из заголовка и содержания статьи) мягко говоря не корректно.
А приложением этим на iOS пользовалось действительно уйма народу, но вроде как нет сотни тысяч жалоб о какой-то подозрительной активности с их аккаунтов. Вобщем плохо пахнет господа :-/ Зачем же так людей-то пугать на ровном месте…
kovalevsky
Почему сутки и почему вводить заново? В Вк, если не ошибаюсь, тоже есть параметр «offline» и эндпоинт для обновления токена. Так что будет вылетать юзер из аккаунта или нет — зависит только от разработчика
exIV
Не видел я в ВК этого и не нашел сейчас, посмотрев документацию, хотя возможно оно и есть и у меня французская болезнь «непашарам». Но вроде как нет, киньте ссылкой, если можно.
И дело не в том есть или нет такая возможность, у меня претензия именно к содержанию статьи и ее заголовку. Намного тактичней было бы написать — «Лабаработрия Касперского нашла кривое приложения для iOS». Но согласитесь, это было бы просто смешно ;)))
Вместо этого используется весьма сомнительный пиар… :-/ По-сути авторов очень популярного приложения обвинили в зловредных действиях, хотя у них может даже и близко помыслов таких не было.
kovalevsky
vk.com/dev/permissions и листайте в самый низ:
exIV
Ага, сенкс! Непашарам…
priv8v
Вот идем сюда и там подробно читаем и смотрим скриншоты. Мало так данных — потому что приложение менялось постоянно, а самую популярную как раз заскринили и показали — тех данных вполне достаточно, вот на скриншоте все видно — все данные на нем есть, включая имя пакета.
А то, что нет полного списка с md5 — это уже вопрос доброй воли, не все антивирусы и на на все темы прилагают такую табличку.