Русский
Русский
English
Статистика
Реклама

Особенность Вконтакте

Когда в личные сообщения Вконтакте тебе пишет незнакомый человек, который точно уверен в каком районе ты находишься в данный момент приятного мало. Сразу активируется паранойя, и мозг начинает искать возможные способы это объяснить. Мое местоположение ему действительно подсказал ВК. Давайте разберемся каким образом.



Разбираемся


Геолокация по какой-либо причине оказалась включена для приложения, но как она утекла оставалось загадкой. Знаете, где в ВК можно увидеть геолокацию человека? На фотографиях, верно. Вот только фотографий в этом районе я не делал, да и вообще запретил ставить метки смартфону.


Еще варианты? Что же я такого сделал, что меня спалило? Как оказалось я просто зашел в раздел Добавить друга, чтоб посмотреть кого мне рекомендуют. В мобильном приложении для Андроид и IOS при переходе в раздел "Друзья" "Добавить друга" происходит разглашение примерной геолокации пользователя через сервис "Найти рядом со мной".


Найти рядом со мной должен раздавать вашу геолокацию и отображать ваше примерное местоположение, в этом его суть. Ранее для того, чтобы это произошло и ваша страница появилась в сервисе "Найти рядом со мной", необходимо было нажать соответствующую кнопку. То есть зайти в сам раздел, где и было написано, что ваша геолокация раздается. В новой версии приложения этого НЕ требуется.


Таким образом любой пользователь, который не ограничил доступ к геолокации приложения и вошел в раздел "Друзья" "Добавить друга", вне зависимости от собственного желания, демонстрирует свою геолокацию другим пользователям. Причем ему самому это не видно, нет никаких диалоговых окон, оповещений и это вводит его в заблуждение.


Еще раз, пользователь не заходил на уровень ниже в Найти рядом со мной, а функция уже активировалась сама. Об этом пользователя не уведомляют и сам он этого не видит.


Тестировалось на IOS и Android на двух разных аккаунтах. Хотите повторить?


  1. Вам нужно всего лишь 2 телефона и включенная для приложения ВК геолокация
  2. На одном телефоне заходите в "Друзья" "Добавить друга"
  3. На другом в Найти рядом с мной
  4. PROFIT! Вы видите из Найти рядом со мной аккаунт второго телефона, пользователь которого и не думал показывать свое местоположение

Резюме


Благодаря этой особенности:


  • Пользователь не планировал пользоваться функцией "Найти рядом со мной" ничего для этого не делал, но его там видят
  • Пользователю не сообщается, что пользуясь разделом "Добавить друзей" он дает согласие на отображение себя в "Найти рядом со мной", это делается скрыто
  • Возможности отключить только "Найти рядом со мной" нет, придется целиком отключить геолокацию в приложении

Так и должно быть? Это не баг, а фича? Об этом стоит тогда рассказать пользователям. Многие не хотели бы, чтобы приложение при использовании сторонних функций незаметно разглашало данные об их местоположении. Так что геолокацию для приложения стоит все же отключать, просто на всякий случай.


Внимание! Перед тем, как рассказать аудитории Хабра об этой проблеме, мной были предприняты попытки сообщить о ней разработчикам через платформу HackerOne. Разработчики посчитали это все не багом, а репорт был закрыт в статусе informative, на мои дальнейшие комментарии они ничего не ответили и игнорировали меня.

Источник: habr.com
К списку статей
Опубликовано: 27.06.2020 14:19:52
0

Сейчас читают

Комментариев (0)
Имя
Электронная почта

Информационная безопасность

Вконтакте

Баг

Фича

Геолокация

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru