Специалист IT-компании Headlight Security Михаил Фирстов, обнаружил способ перехвата персональных сообщений из «ВКонтакте» с мобильных устройств.
Об этом на своей странице в Facebook сообщает пресс-служба украинской киберполиции, ссылаясь на информацию в блоге компании.
Как сообщается в блоге, перехват осуществляется с помощью утилиты vkmitm, написанной на языке Python. Программа способна обрабатывать сообщения как в режиме реального времени, так и в offline из файла PCAP. Для успешного перехвата переписки необходимо предварительно осуществить атаку «человек посередине» (MitM-атака).
По словам Фирстова, проблема существует из-за того, что популярные мобильные приложения ВКонтакте для iOS и Android не используют HTTPS по умолчанию. Например, посторонняя программа vFeed, которая находится на втором месте по популярности в App Store, передает данные пользователей в открытом виде. Эксперту удалось осуществить перехват сообщений, используя настройки приложений по умолчанию.
Отмечается, что единственный способ не допустить перехвата персональных сообщений — это использование последних версий официального клиента ВКонтакте с включенной опцией «Защищенное соединение».
Перехват продемонстрировали на видео.