Перехватывать переписку через приложение «ВКонтакте» мог любой желающий даже при включённом HTTPS (на самом деле нет)

в 10:02, , рубрики: android, Headlight Security, iOS, взлом, Вконтакте, Георгий Лобушкин, Михаил Фирстов, мобильные приложения, Текучка, метки: , , , , , , , ,

Представитель консалтинговой компании Headlight Security Михаил Фирстов рассказал в корпоративном блоге об уязвимости, позволявшей прослушивать трафик пользователей приложения «ВКонтакте» для iOS и Android. Код скрипта он опубликовал на GitHub.

Как сообщил Фирстов TJ, ещё недавно приложение «ВКонтакте» по умолчанию передавало переписку по незащищённому протоколу HTTP для экономии трафика даже при включённом HTTPS. В последнем обновлении соцсеть исправила ошибку — по крайней мере пользователи iOS могут «Всегда использовать защищённое соединение», указав это в настройках.

Для демонстрации проблемы источник использовал утилиту vkmitm. Чтобы обработать перехваченные сообщения, злоумышленнику достаточно было находиться в одной локальной или беспроводной сети с жертвой. В ходе атаки он смог распознать не только пользовательский, но и служебный текст, в том числе уведомления о статусе сообщений, — в реальном времени или отложенно.

CRcqc3FWsAIcI88

Пресс-секретарь «ВКонтакте» Георгий Лобушкин между тем сказал TJ, что передача сообщений по HTTPS по умолчанию осуществляется в приложении для iOS уже больше года, в версии для Android соответствующую опцию можно включить самостоятельно и работает она исправно.

Источник


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js