Недостаток защищенности позволял перехватывать переписку мобильных пользователей ВКонтакте

В популярной социальной сети ВКонтакте был обнаружен недостаток защищенности, позволяющий перехватывать личные сообщения пользователей приложения для iOS и Android. Фичу обнаружил эксперт компании HeadLight Security Михаил Фирстов.

По словам эксперта, для чтения чужой персональной переписки достаточно находиться в одной беспроводной или локальной сети с компьютером или мобильным устройством жертвы, авторизованным в социальной сети. Для демонстрации возможности эксплуатации данной уязвимости можно воспользоваться соответствующей утилитой — vkmitm, которая позволяет обрабатывать сообщения ВКонтакте из трафика в режиме реального времени или офлайн из PCAP-файла.

В последнем обновлении соцсеть исправила ошибку — пользователи iOS могут «Всегда использовать защищённое соединение», указав это в настройках. Пресс-секретарь ВКонтакте Георгий Лобушкин сообщил, что передача сообщений по HTTPS осуществляется в приложении для iOS уже больше года, в версии для Android соответствующую опцию можно включить самостоятельно и работает она исправно. "В таком случае получить доступ к переписке пользователя перехватом Wi-Fi-трафика невозможно. В ближайшем будущем мы планируем полностью отказаться от использования HTTP", — уточнил представитель ВКонтакте.

Журналист, новостной редактор, работает на сайте с 2009 года. Специализация: интернет-маркетинг, SEO, поисковые системы, обзоры профильных мероприятий, отраслевые новости рунета.
Языки: румынский, испанский.
Кредо: Арфы нет, возьмите бубен.