Переписку клиента ВКонтакте под Android можно перехватить

Специалист по безопасности компании HeadLight Security Михаил Фирстов опубликовал код скрипта, позволяющего обрабатывать перехваченную переписку пользователей приложения ВКонтакте для Android и iOS, находящихся в одной локальной сети с хакером.

Как пишет Tjournal.ru, утилита способна узнавать не только текст отправляемых и получаемых сообщений конкретным пользователем, но и служебные уведомления вроде «Набирает текст» и «Прочитано».

Для перехвата сообщений злоумышленника достаточно находиться в одной локальной сети с жертвой — например, открытом Wi-Fi в кафе.

При этом существует возможность расшифровки переписки после, предварительно создавая дампы трафика.

По информации Фирстова, возможность получать сообщения в незашифрованном виде заложена в мобильных приложениях ВКонтакте. Вместо передачи разговоров через защищенное соединение, они передают их через протокол HTTP.

Пресс-секретарь ВКонтакте, Георгий Лобушкин опровергает заявления эксперта по безопасности: «Защищённое соединение HTTPS всегда используется в нашем приложении на iOS. Также оно может быть включено пользователем в настройках в приложении на платформе Android. В таком случае получить доступ к переписке пользователя перехватом Wi-Fi-трафика невозможно. В ближайшем будущем мы планируем полностью отказаться от использования HTTP.»

Таким образом, перехватить переписку можно только в том случае, если параметр использования HTTPS не включен в приложении для Android.