Обнаружен способ перехватывания сообщений «ВКонтакте» непосредственно через Wi-Fi

17 октября. Михаил Фирстов, являющийся специалистом по безопасности развивающейся компании HeadLight Security, опубликовал код скрипта, который позволяет перехватывать переписку потенциальных пользователей популярного приложения «ВКонтакте» для iOS и Android. Он отметил, что в данном случае достаточно пребывать в одной локальной сети непосредственно с жертвой.

Следует отметить, что возможность в незашифрованном виде перехватывать сообщения заложена в мобильных современных приложениях «ВКонтакте». Они по какой-то причине передаются через специальный протокол HTTP, если даже в настройках аккаунта установлена галочка «Всегда использовать защищенное соединение (HTTPS)». Вместе с этим эксперт считает, что можно осуществлять кроме чтения текста получаемых и отправляемых сообщений конкретным пользователем, также служебные уведомления типа «Прочитано», «Набирает текст». Данная информация Фирстовым была сообщена в своем микроблоге.

Для получения возможности прослушивания трафика, злоумышленнику достаточно пребывать в единой локальной сети совместно с жертвой. Это, например, может быть открытое Wi-Fi в кафе. Нет пока информации, что стало причиной непосредственно неиспользования HTTPS в процессе передачи личных сообщений. Имеется информация, что в последнем обновлении современного приложения VK App именно для iOS исправили передачу сообщений по HTTP, однако если пользователем на сайте было указано «Всегда использовать защищенное соединение (HTTPS)».