Posted 18 октября 2015, 09:56
Published 18 октября 2015, 09:56
Modified 8 марта, 03:13
Updated 8 марта, 03:13
Специалист по безопасности компании HeadLight Security Михаил Фирстов в своем микроблоге опубликовал код скрипта, позволяющего обрабатывать перехваченную переписку пользователей приложения «ВКонтакте» для Android и iOS.
Чтобы иметь возможность прослушивать трафик, устройству злоумышленника достаточно находиться в одной локальной сети с жертвой — например, открытом Wi-Fi в кафе, отметил Фирстов.
По словам специалиста, возможность получать сообщения в незашифрованном виде изначально заложена в мобильных приложениях «ВКонтакте». Однако, по какой-то причине они передают их через протокол HTTP, даже если в настройках аккаунта стоит галочка «Всегда использовать защищённое соединение (HTTPS)».
Как сообщается, TJ уведомил представителей «ВКонтакте» о способе чтения чужой переписки. Пока неизвестно, что стало причиной неиспользования HTTPS при передаче личных сообщений.
«Результаты проверки наших специалистов по безопасности полностью опровергли доводы, приведённые в статье. Защищённое соединение HTTPS всегда используется в нашем приложении на iOS (его нельзя отключить). Также оно может быть включено пользователем в настройках в приложении на платформе Android. В таком случае получить доступ к переписке пользователя перехватом Wi-Fi-трафика невозможно. В ближайшем будущем мы планируем полностью отказаться от использования HTTP», заявил Георгий Лобушкин, пресс-секретарь «В контакте», сообщает TJournal.
А.