Обнаружен способ перехвата сообщений «ВКонтакте»

Специалист ИБ-компании Headlight Security Михаил Фирстов отыскал способ перехвата личных сообщений «ВКонтакте» с мобильных устройств. Об этом сообщается в блоге компании.

Перехват переписки осуществляется при помощи утилиты vkmitm, написанной на языке Python. Программа способна обрабатывать сообщения как в настоящем времени, так и в offline из файла PCAP. Для успешного перехвата переписки необходимо предварительно осуществить атаку «человек посередине».

По словам Фирстова, неприятность существует по причине того, что популярные мобильные приложения «ВКонтакте» для iOS и Android не используют HTTPS по умолчанию. К примеру, сторонняя программа vFeed, которая на момент публикации записи пребывала на втором месте по популярности в App Store, информирует эти пользователей в открытом виде. Эксперту удалось осуществить перехват сообщений, используя настройки приложений по умолчанию. Единственный способ не допустить перехвата личной корреспонденции заключается в применении последних догадок официального клиента «ВКонтакте» с включенной опцией «Защищенное соединение».