2 года назад

Взято отсюда: https://4pda.ru/forum/index.php?s=&showtopic=701681&… для распространения информации. Далее цитата этого поста:

В коде приложения обнаружено, что клиент получает с адреса

http://alterp.in.ua/vkc/VKCoffeeRepository/CoffeeAPI.php

определнный JSON-файл.

В нём есть много определенных параметров. Но нас интересует только два из них: bla и bA.

На скриншоте видно, как при попытке открыть паблик, выдаётся сообщение, мол паблик не существует или был удалён.

Аналогично со страницей.

Но на самом деле это автор приложения запретил Вам его посетить.

Обратите внимание, чтобы блокировка сработала после подписывания на паблик, нужно перезапустить приложение.

Рассмотрим параметр bA. Я изменил запрос, и вписал туда свой ID.

Теперь автор запрещает мне и вовсе использовать его клиент, и сразу сам пытается себя удалить. После повторного запуска, выскочит окно авторизации, но мой аккаунт там остался, как дополнительный.

Обратите внимание, что даже если запрос не изменять, и оставить как он был изначально (без моего ID), мне всё равно не дадут зайти в приложение. Придёться сделать сброс данных клиента.

Как же выглядит метод, обрабатывающий значения из запроса?

Кто хочет, тот может исправить данный метод, и свободно пользоваться клиентом, без запретов автора.

158-193 строчки из файла comvkcoffeeandroidLoadData.java

После первоапрельского редизайна многие действительно посмотрели на “Вконтакте” по-новому. Одни заметили схожесть с Facebook, другие – хвалят юзабилити. Наша редакция, в своем окружении, пока наблюдала лишь позитивные отзывы. Но можно ли сделать использование социальной сети еще приятнее и удобнее? Оказывается, да! И в этом поможет проект Эдуарда Безменова “VK Coffee”.

Безусловно, администрация “Вконтакте”, скажем, не приветствует использование неофициальных приложений, но, в тоже время, и не может повсеместно контролировать их развитие. Как знать, быть может, отдельные проекты станут источником вдохновения для самих разработчиков социальной сети, т.к. отдельные опции и функционал, внедряемые энтузиастами, набирают все большую популярность. А одна из ключевых фишек “Кофе” – шифрование, но… обо всем по порядку 🙂

Чтобы понять, что же из себя представляет “VK Coffee” и как он развивается, мы решили напрямую уточнить несколько деталей у самого разработчика.

Эдуард, расскажите, пожалуйста, какова философия развития этого приложения для Android, почему пользователь должен выбрать “VK Coffee”?

В первую очередь, необходимо понимать, что “VK Coffee” предоставляет необходимый дополнительный функционал и делает это в обличии всем известного и привычного официального клиента “ВКонтакте”. Такой формат может удовлетворить довольно много базовых “хотелок” пользователей. Более того, в нем предоставлены функции, которые недоступны в социальной сети “по умолчанию” (например, скачивание музыки).

Относительно философии – тут можно провести параллель с принципами построения модификации. Они следующие:

  • использование лучших и оптимальных методик для модифицирования, дабы мод не имел новых ошибок, по сравнению с официальным клиентом;
  • организация дополнительного функционала от “VK Coffee” таким образом, чтоб он работал так, будто является частью официального клиента;
  • предоставить максимально удобное usability;
  • не ставить пользователя под угрозу блокировки, а если и есть подобный риск при использовании какой-то новой функции – предупреждать об этом (стоит отметить, что расширение функционала могло бы быть куда более масштабным, но я стараюсь быть осторожным в этом вопросе).

Чем является для Вас “VK Coffee” в первую очередь?

Увлекательным экспериментом и опытом. Я стараюсь анализировать абсолютно всё: реакцию пользователей на те, или иные нововведения; их ощущения при выпуске новых версий с предоставлением разных категорий нововведений и интервалов обновления; комментарии (как негативные так и положительные). При всем этом, естественно, пытаюсь разобраться в первопричине определенной обратной связи, в этом плане важно все: идеи, предложения… все, что только можно. Так же, это, по сути, “читерский” способ улучшить свои навыки в программировании: анализировать чужой код, понять, почему именно такое решение было написано, отметить как необходимо реализовать определенное решение, и как, возможно, не стоит воплощать его в жизнь.

Усовершенствование общения на платформе “Вконтакте” было необходимостью, желанием помочь пользователям или чем-то еще?

Изначально, пожалуй, это было вовсе эгоистическое желание. Объясню. В первую очередь, я хотел усовершенствовать свои навыки в программировании и расширить свой кругозор, но в более интересный и результативный способ, нежели изучение документации, чтение книг и просмотр интересных видеоуроков. У меня, к тому моменту, были неплохие базовые знания по чистой Java и другим языкам программирования, в том числе – элементарная начальная база по Assembler. Тогда как в Android-разработке у меня был нулевой опыт и очень хотелось это исправить.

Позже, в дар достались методики по reversing-engineering приложений (которые на данный момент уже очень сильно усовершенствованы мной). Я начал их освоение, и в “жертву” попало официальное приложение “ВКонтакте”. Я эгоистически внедрил свои “хотелки”, но так получилось, что доработанный функционал очень понравился пользователям.

Так появился “VK Coffee”, и я начал собирать идеи пользователей, выполнял интересные, с точки зрения программирования, возможности их реализации. Позже появлялось и свое, более широкое виденье обновленного приложения, которое так же приглянулось пользователям 🙂

Какой процент функционала добавлен “по заявкам” пользователей?

Чисто субъективно 60-70%. Стоит отметить, я готов исполнять еще больше “заявок”, но в случае, если они действительно полезны и востребованы, а самое главное –  есть возможность их технической реализации. Но увы, чем дальше, тем хуже. Много приходится придумывать своего. Имею ввиду, что довольно сложно строить востребованную модификацию исходя сугубо из идей пользователей. Обязательно должно быть свое, авторское виденье, и оно так же должно гармонично обновляться, воплощаясь в приложении.

Были ли “знаковые” опции, после внедрения которых количество активных пользователей значительно повысилось?

Из последнего, что было для меня большим удивлением – шифрование сообщений в версиях “VK Coffee Lite”. Количество пользователей этих версий моментально выросло, пожалуй, раза в три. Но это, скорее всего, единственный ярко выраженный случай. Вообще, функции модификации делятся на несколько категорий, они, примерно, таковы:

  • стратегически важные (смена идентификатора платформ, мультиаккаунтность и т.д.),
  • обычные/базовые функции (режим offline, постинг постов в offline, всяческие вариации со чтением сообщений и т.д.),
  • функции улучшения usability (показ фотографий в обратном порядке, swipe меню и т.п).

Пополнение функций первой категории в обновлении действительно дает ощутимый прирост в количестве пользователей, а уже постоянная актуализация функций второй и третьей категории заставляют и дальше использовать модификацию на постоянной основе.

Насколько сложно удовлетворять постоянный спрос на обновление?

Довольно хороший вопрос. Знаете, в ходе анализа было замечено, что частые обновления с множеством важных нововведений и улучшений попросту балуют пользователей. С дополнением функционала приходится быть осторожным: нельзя перенасыщать новыми опциями, необходимо работать над всем постепенно и сбалансировано. Если правильно всё сочетать, то у пользователя всегда будут приятные эмоции от новых функций, которые он увидит в очередной модификации, а спрос так и будет умеренно удовлетворяться, сохраняя прирост пользователей.

Несколько вопросов о безопасности, учитывая, что мы обсуждаем использование неофициального приложения.

На что нужно обращать внимание при использовании стороннего приложения, дабы обезопасить себя от кражи/взлома профиля?

Да впрочем, рекомендации официальной стороны вполне разумны и правильны, мало что можно добавить.

Чтобы взломать Ваш аккаунт, некоему третьему лицу надо приложить усилия, чтобы узнать Ваш пароль, иными словами — взломать его. Сделать это можно несколькими способами:

  • Взломом посредством перебора пароля по словарю или ручного подбора самых часто используемых простых паролей. Защититься от такого метода поможет сложный пароль.
    • об установке программ для скачивания аудио и видео;
  • Путем социальной инженерии. Этот метод позволяет через общение с человеком узнать его личные данные. Метод очень опасен, если применяется опытным мошенником. Поэтому не заводите ни с кем разговоров на тему паролей и не сообщайте их, даже если говоривший будет представляться сотрудником поддержки, администратором сайта или другом Павла Дурова. Пример кражи данных.
  • В интернет-кафе (а также у Ваших друзей, намеревающихся украсть Ваш пароль) может стоять программа-KeyLogger — это шпион, перехватывающий нажатия на клавиатуру и записывающий их в файл. Следовательно, у злоумышленника будут Ваши логин и пароль в явном виде. Гарантированной защитой от этого метода может послужить только выход в интернет и ввод пароля со своего или надежного, проверенного компьютера.

Главный совет

Всегда используйте разные пароли для страницы ВКонтакте, почтового ящика и остальных сайтов, а также следите, чтобы страница была привязана к актуальному номеру телефона и почтовому ящику. Иначе при краже одного пароля шансы на то, что Вы сразу лишитесь всех своих аккаунтов, увеличиваются.

Могу лишь отметить, что необходимо избегать сомнительных online-сервисов.

Что касается моего проекта, то “VK Coffee” в этом контексте использовать можно. Он не угоняет логины, пароли и прочие персональные данные. Модификация прошла несколько внутренних аудитов энтузиастами на проверку этого, причем, вполне успешно! Конечно, были найдены некоторые уязвимости, но они в части обхода блокировки функционала, который доступен только тем, кто помог проекту.

Защищает ли двухэтапная аутентификация от кражи/взлома профиля, при использовании стороннего приложения?

Очень хороший вопрос. двухфакторная/двухэтапная аутентификация создает дополнительные сложности для несанкционированного проникновения в аккаунт. Но, к примеру, присылание SMS-ки можно обойти, угнав вместо пароля специальный токен, или же используя специальный доверительный ключ, доступ к которому получается через логин и пароль. Для людей которые знают, как построена авторизация, при составлении правильной схемы “угона”, двухфакторная аутентификация не является проблемой. Не стоит относиться к этой функции, как к панацеи против кражи профиля, но это действительно хороший инструмент для создания дополнительных сложностей неопытным взломщикам.

Стоит отметить, что для каждого пользователя доступен просмотр сессий, с которых был доступ к аккаунту. В случае обнаружения чего-то подозрительного, можно завершить сомнительную, или все сессии, проверить свои устройства, поменять пароль и продолжить пользоваться “ВКонтакте”. Это самый лучший и эффективный способ защитить себя от взлома. Правда, такая функция доступна пока только в веб-версии. Впрочем, включив “Фантомный онлайн” в “VK Coffee”, вы сможете проверять эти данные более проще, т.к. дата последнего входа не будет меняться.

Последнее время “тренд шифрования” персональных данных лишь усиливается, смотрит ли в эту сторону “VK Coffee”? Что сделано уже сегодня и каково развитие этого направления планируется далее?

В социальных сетях свои персональные данные пользователи указывают сами. Это немного не то.

Мною был сделан удачный эксперимент, в рамках Lite версии – был добавлен прототип шифрования (общий алгоритм для всех пользователей “VK Coffee”). В следующей версии сей прототип превратиться в полноценное удобное шифрование переписки, с помощью использования специального ключа (наподобие pin-кода). Таким образом, прочитать переписку можно будет только лишь зная тот самый ключ. Конечно, предполагается, что его должны знать только собеседники, но до какого “изврата” дойдут пользователи – не знаю.

пример зашифрованной переписки с помощью ключа
просмотр без ключа

К тому же, было очень приятно, когда после появления этого прототипа, его всячески начали разбирать и писать свои сервисы по его расшифровке. Считаю это большим достижением. Приложения-конкуренты не смогли вызвать такого интереса к данной опции, внедряя ее в своих предложениях.

Какой мессенджер использует разработчик “VK Coffee?” 🙂

Telegram. Закрытые внутренние тестовые версии тоже распространяются там. Но, после внедрения полноценной функции шифрования, уверен, что стану пользоваться переписками во “ВКонтакте” намного чаще 🙂

Ранее мы общались с пресс-секретарем украинского офиса “Вконтакте” Владом Леготкиным, с которым обсудили особенности юрисдикции в правоотношениях с “Вконтакте”, дальнейшую “судьбу” аудио в сети. Так же, поговорили о том, каким образом будет развиваться видеоконтент при стремительном обрастании видеоплеера сайта новыми функциями, и отметили причины развития рекламных инструментов. Беседа доступна в форме подкаста на нашем сайте 😉

ДешифраторDiskussionsforum Thema735

1 2 3 В» Как можно расшифровать шифр VK COFFEE. Для того, чтобы расшифровать сообщение вк кофе не нужно знать никаких алгоритмов. Нужно всего лишь скачать приложение под названием VK COFFEE. Далее зайти в переписку с человеком, чьи сообщения зашифрованы. В правом верхнем углу экрана нажимаем на кнопку настройки диалога. Ставим рядом со словом «шифрование» галочку и вуаля, вы можете видеть зашифрованные сообщения в привычном вам виде. По всем вопросам пишем, отвечу на все) А если они код поставили VK CO FF EE 6E 57 33 4E 44 61 43 45 30 52 53 2F 6C 6F 6A 54 63 63 59 34 37 78 31 46 6B 6C 67 77 59 73 64 58 52 30 6E 51 62 64 56 2B 54 59 49 3D VK CO FF EE А можно ли расшифровать резервную копию авторизации

VK CO FF EE 5A 37 2B 6E 39 43 38 73 75 32 33 66 32 66 30 6F 78 75 66 56 63 36 6D 6C 4A 50 7A 4E 4E 30 2B 75 72 6D 76 6F 57 78 31 64 47 50 4A 50 6E 4D 35 39 6E 74 51 30 59 58 55 63 64 42 5A 6E 70 5A 46 78 79 36 47 6D 75 42 48 73 4C 76 6D 57 2F 4C 5A 6B 4A 52 69 69 56 41 3D 3D VK CO FF EE Евгений, слушай, у меня расшифровка не делается, галочку поставил, и ничего У МЕНЯ АЙФОН КАК РАСШИФРОВАТЬ ЧТО ДЕЛАТТ VK CO FF EE 37 75 44 46 32 55 6E 35 43 36 76 38 64 6A 6A 61 73 39 72 33 74 51 3D 3D VK CO FF EE В случае если собеседник ключ поставил необзодимо его ввести
VK CO FF EE 4A 32 31 65 4E 42 6C 76 50 7A 77 4C 43 73 59 6B 43 64 65 71 58 43 78 4D 53 6C 32 53 68 44 4D 71 68 73 35 5A 53 39 74 67 64 6E 67 46 6D 44 64 58 59 41 34 4B 74 6C 4D 69 64 30 2F 42 38 77 63 30 75 77 69 33 62 42 67 53 59 5A 76 7A 6D 73 4C 47 7A 78 61 31 74 33 6F 48 4F 70 57 47 77 63 66 71 37 7A 54 39 6A 63 62 79 69 7A 56 53 4D 77 73 53 4B 63 50 4C 33 41 73 2B 65 55 74 73 69 50 72 4E 30 34 55 66 6E 51 5A 46 69 35 43 37 45 2F 2B 58 73 50 79 6B 44 47 77 42 45 30 33 77 7A 6E 52 67 56 4C 53 6B 2B 6A 38 72 48 61 51 3D VK CO FF EE
VK CO FF EE 37 74 70 45 4F 5A 50 34 6B 6D 59 6E 52 4F 64 47 62 33 53 58 52 77 3D 3D VK CO FF EE VK CO FF EE 56 48 44 45 6C 58 30 50 6B 4F 62 35 46 2B 42 33 66 54 32 77 66 77 3D 3D VK CO FF EE VK CO FF EE 37 6B 2F 39 46 30 70 4D 39 76 44 34 54 52 72 57 2F 46 74 4B 58 6F 2F 33 50 35 4C 2B 6D 6F 78 57 4F 45 43 42 6D 52 73 72 38 79 4F 4E 6B 65 61 71 35 4D 2B 54 42 59 63 7A 6D 33 41 74 75 41 67 79 37 56 6E 62 66 4B 54 4A 64 39 37 6B 36 75 39 51 33 74 33 4E 4B 69 6B 6D 4A 39 31 58 38 44 4E 78 73 34 6F 55 32 55 35 77 4C 63 6D 50 35 76 45 39 51 7A 34 4A 2B 30 46 75 48 4A 47 74 63 58 57 53 46 46 78 6C 78 6F 68 34 6F 68 35 65 37 7A 75 76 42 42 6E 74 42 51 3D 3D VK CO FF EE VK CO FF EE 78 53 4B 76 73 58 4D 74 73 33 62 41 4D 4C 73 78 48 70 47 66 63 77 3D 3D VK CO FF EE
VK CO FF EE 55 72 45 2B 35 68 2B 4F 32 66 37 65 4C 78 33 35 58 73 61 46 35 41 3D 3D VK CO FF EE
VK CO FF EE 70 4D 4E 61 4D 76 6E 39 4C 79 64 72 78 62 36 46 30 4A 70 39 45 74 6D 37 35 71 42 4A 58 4E 34 38 41 46 39 34 33 54 54 53 68 70 6B 3D VK CO FF EE После скандала с PRISM вопрос безопасности данных стал еще актуальней чем был, и даже если вы не секретный агент, то ваша личная переписка, должна соответствовать своему названию, и по умолчанию должна быть закрыта от доступа третьих лиц. Взяв это за аксиому это принцип, я занялся разработкой дополнений для браузеров для работы с популярной в странах СНГ социальной сетью вконтакте методом AES. Небольшая предистория, алгоритм AES (Advanced Encryption Standard) — это симметричный алгоритм шифрования, который на конкурентной основе был принят в качестве стандарта шифрования правительством США по результатам одноимённого конкурса. Алгоритм подробно описан, и есть его различные реализации под разные платформы и веб интерфейс (например тут). Чобы зашифровать/расшифровать текст нужно сообщение и ключ (и размер блока, по умолчанию 256, но бывает 128, 196). Зашифрованное сообщение можно передавать через любой канал связи, например SMS, IM, почта, социальные сети. Итак, какоето время я жил с периодически всплывающей мыслью, а почему бы нам не автоматизировать процесс расшифровки-шифровки сообщений для сети vk.com? Архитектуру процесса я видел следующим образом: 1) гденибудь рядом с формой отправки появляется форма ввода секретного ключа 2) вместо оригинальной формы вконтакта (данные из которой кстати сохраняются и без отправки) рисуется альтернативная текстовая форма, а после нажатия кнопки отправки, данные из этой формы шифруются в соответствии с ключём, и вставляются в обычную форму вконтакта в зашифрованном виде + в начале сообщения задаётся маркер AESSTART. 3) зашифрованное сообщение отправляется как обычное 4) расширение отслеживает открытое окно диалога, сканирует сообщения на наличие маркера AESSTART, и если маркер есть, расшифровывает в соответствии с введённым ключём. + выводит иконку ключик справа от сообщения и меняет фон на зелёный Трудности с реализацией плагинов были связанны с особенностями разработки под конкретную платформу, и изучение документации.В итоге получилось вот что: Chrome: https://chrome.google.com/webstore/detail/vkcrypt/lemdbelcbpfbohjiimbcdhbonmlamdbm/ Mozilla: Как оказалось версия под Chrome безопаснее, так как в нём скрипты расширения и скрипты сайта выполняются изолированно от друг друга, в разных средах. В Mozilla Firefox теоретически вконтакт может считать массив с ключами получив доступ к window.secureKeys. В хроме введённые ключи существуют только на стороне пользователя, со стороны вконтакта к ним нет никакого доступа.Краткая инструкция: Для того чтобы работало шифрование и дешифрование информации, вы должны знать секретный ключ (пароль), который так же должен знать ваш собеседник. Лучше всего обменяться ключом при личной встрече, это может быть набор букв и цифр. Установите плагин, войдите в режим диалога с вашим собеседником (в мини чате и в режиме сообщений плагин не работает), если плагин установился, справа от текстовой формы и аватара будет ссылка «ENTER SECRET KEY». Нажмите эту ссылку, и в появившемся окне введите ваш секретный ключ. Ваш собеседник должен проделать такую–же операцию. Теперь ваши сообщения будут отправляться зашифрованные, а зашифрованные сообщения собеседника — отображаться в расшифрованном виде.страница проекта | исходники 171 63.8k 171

Используемые источники:

  • https://pikabu.ru/story/vk_coffee__ne_sovsem_chestnyiy_klient_vkontakte_5017392
  • https://ilaw.center/vk-coffee-yspolzujte-vkontakte-na-polnuyu/
  • https://m.vk.com/topic-170592300_39421977
  • https://m.habr.com/post/193702/

СХОЖИЕ СТАТЬИБОЛЬШЕ ОТ АВТОРА

ОСТАВЬТЕ ОТВЕТ

Please enter your name here
Please enter your comment!