В ВКонтакте обнаружили недостаток защищенности, позволяющий перехватывать личные сообщения из приложений для iOS и Android
По словам эксперта, для чтения чужой персональной переписки достаточно находиться в одной беспроводной или локальной сети с компьютером или мобильным устройством жертвы, авторизованным в социальной сети. Для демонстрации возможности эксплуатации данной уязвимости можно воспользоваться соответствующей утилитой — vkmitm, которая позволяет обрабатывать сообщения ВКонтакте из трафика в режиме реального времени или офлайн из PCAP-файла.
В последнем обновлении соцсеть исправила ошибку — пользователи iOS могут «Всегда использовать защищённое соединение», указав это в настройках. Пресс-секретарь ВКонтакте Георгий Лобушкин сообщил, что передача сообщений по HTTPS осуществляется в приложении для iOS уже больше года, в версии для Android соответствующую опцию можно включить самостоятельно и работает она исправно. «В таком случае получить доступ к переписке пользователя перехватом Wi-Fi-трафика невозможно. В ближайшем будущем мы планируем полностью отказаться от использования HTTP», — уточнил представитель ВКонтакте.