Перехватывать переписку через приложение «ВКонтакте» мог любой желающий даже при включённом HTTPS (на самом деле нет)

Представитель консалтинговой компании Headlight Security Михаил Фирстов рассказал ^[1] в корпоративном блоге об уязвимости, позволявшей прослушивать трафик пользователей приложения «ВКонтакте» для iOS и Android. Код скрипта он опубликовал ^[2] на GitHub.

Как сообщил ^[3] Фирстов TJ, ещё недавно приложение «ВКонтакте» по умолчанию передавало переписку по незащищённому протоколу HTTP для экономии трафика даже при включённом HTTPS. В последнем обновлении соцсеть исправила ошибку — по крайней мере пользователи iOS могут «Всегда использовать защищённое соединение», указав это в настройках.

Для демонстрации проблемы источник использовал утилиту vkmitm ^[2]. Чтобы обработать перехваченные сообщения, злоумышленнику достаточно было находиться в одной локальной или беспроводной сети с жертвой. В ходе атаки он смог распознать не только пользовательский, но и служебный текст, в том числе уведомления о статусе сообщений, — в реальном времени или отложенно.

Пресс-секретарь «ВКонтакте» Георгий Лобушкин между тем сказал TJ, что передача сообщений по HTTPS по умолчанию осуществляется в приложении для iOS уже больше года, в версии для Android соответствующую опцию можно включить самостоятельно и работает она исправно.