Переписка ВКонтакте видна по Wi-Fi (чужая)
20.10.2015 | Александр Б.
В сети был опубликован код, дающий доступ к чужой переписке в приложениях социальной сети «ВКонтакте» под Android и iOS. Его сумел написать компьютерный специалист по системам безопасности из России Михаил Фирстов.
Для работы кода важно, чтобы пользователи, за которыми устанавливается «слежка за личной перепиской», находились в общей сети Wi-Fi со своим шпионом.
Данный хак Михаила является скриптом на языке Python. Они отслеживает в рамках локалки передающиеся запросы от мобильных приложений «ВКонтакте» с целью выявления в них новых постов. Читать можно как исходящие, так и входящие сообщения, нельзя лишь идентифицировать самих пользователей.
Дыра для хака была найдена из-за использования (пока еще) «ВКонтакте» незащищенного протокола HTTP, вместо HTTPS, потому что таким образом снижается расход трафика. Боле того, HTTP работает даже в том случае, если пользователь намеренно указал в своих настройках использование протокола HTTPS.
Георгий Лобушкин, представляющий «ВКонтакте», решил оспорить вышенаписанное. Он заявил, что в случае ОС iOS (iPhone, iPad) всегда используется только защищенное соединение HTTPS и отключить его нет возможности. Относительно версий под платформу Android, Георгий уверяет, что HTTPS включается-таки при активации его в настройках.
В дальнейшем «ВКонтакте» планирует полностью работать только через HTTPS.