Вконтакте, фейки, google play
Решила я на досуге полазить по google play, да поискать разнообразную молварь. Самое простое, что пришло в мою голову это поискать фейки на вконтакты. Все-таки на форумах постоянно продают эти аккаунты.
И, как оказалось, мои поиски были не напрасны. Фейки есть и много.
Что интересно, так они все используют токен и ид от оффициальной приложухи. Как же так, неужели вконтач никак не стал прятать их? Впрочем,так и есть, в течении 5 минут из декомпиленной прилы извлекаются. В их же документации к апи не рекомендуют хранить в открытом виде. Другим советуем, сами не следуем. Оставлю тут, может вконтач одумается, и если не начнет прятать, так хотябы регулярно менять client_id 2274003 client_secret hHbZxrka2uZ6jB1inYsH.
Не все разработчики используют токены от оф приложухи. Некоторые стесняются и делают хитрые конструкции в духе выбор рандомом — или оф приложуха или своя. Или же трай-катч: не прошло с нашим, пройдет с вкшным.
А теперь об интерфейсах. Один из разработчиков подошел с невероятным креативом и сделал почти oauth2, только вот слегка подозрительный oauth2
Приложения конечно же не обфусцированы. Код как под копирку, только аккаунты разработчиков разные, урл к фейку в открытом виде.
Кто захочет, может найти их все в маркете.
Официальное приложение все равно выше всех в поиске. А если взглянуть на количество установок и отзывы то совсем все понятно становится) Атака пройдет только против очень невнимательного пользователя, которого отправили по ссылке именно на нужную страницу в play.
Таким приложениям покупают отзывы. Может получиться и так, что сверху будет, что все супер
И оф прила не качает музыку и не накручивает лайки