Сквозь «дыры» в wi-fi. IT-специалист рассказал как можно читать чужую переписку «ВКонтакте»

Специалист по безопасности компании HeadLight Security Михаил Фирстов опубликовал код скрипта, позволяющего обрабатывать перехваченную переписку пользователей приложения «ВКонтакте» для Android и iOS. Об этом он сообщил в своем микроблоге, сообщает Tjournal.ru.

Код утилиты под названием vkmitm (от MITM – «man in the middle», тип атаки) Фирстов опубликовал на GitHub. Ее исполняемая часть является скриптом на Python, который ищет в локальной сети запросы приложений «ВКонтакте» для Android или iOS на обновление списка сообщений.

В беседе с сотрудниками TJournal специалист рассказал, что возможность получать сообщения в незашифрованном виде заложена в мобильных приложениях «ВКонтакте», которые по какой-то причине передают их через незащищенный протокол HTTP. Незашифрованное соединение, по его словам, используется даже в том случае, если в настройках стоит галочка «Всегда использовать защищенное соединение».

Чтобы иметь возможность прослушивать трафик, устройству злоумышленника достаточно находиться в одной локальной сети с жертвой – например, открытом Wi-Fi в кафе. «Слушать» сообщения в режиме реального времени необязательно: можно создавать дампы трафика через PCAP и разбирать их по заданной маске позднее.

В свою очередь, пресс-секретарь «ВКонтакте» Георгий Лобушкин заявил, что в версии для iOS защищенное соединение используется всегда, а в приложении Android его можно включить. «В таком случае получить доступ к переписке пользователя перехватом Wi-Fi-трафика невозможно. В ближайшем будущем «ВКонтакте» планирует полностью отказаться от использования HTTP», – отметил он.