Специалист по безопасности компании HeadLight Security Михаил Фирстов опубликовал код скрипта, позволяющего перехватывать переписку пользователей приложения «ВКонтакте» для Android и iOS. По его словам, достаточно находиться в одной локальной сети с жертвой, передает интернет-издание TJournal.
Возможность перехватывать сообщения в незашифрованном виде заложена в мобильных приложениях «ВКонтакте». По какой-то причине они передаются через протокол HTTP, даже если в настройках аккаунта стоит галочка «Всегда использовать защищенное соединение (HTTPS)». Причем, по мнению эксперта, можно читать не только текст отправляемых и получаемых конкретным пользователем сообщений, но и служебные уведомления вроде «Набирает текст» и «Прочитано». Об этом он сообщил в своем микроблоге.
Чтобы иметь возможность прослушивать трафик, злоумышленнику достаточно находиться в одной локальной сети с жертвой — например, открытом Wi-Fi в кафе.
Пока неизвестно, что стало причиной неиспользования HTTPS при передаче личных сообщений, отмечает издание.
В последнем обновлении приложения VK App для iOS передача сообщений по HTTP была исправлена, но только в том случае, если пользователь указал на сайте «Всегда использовать защищенное соединение (HTTPS)», говорится в публикации.