Специалист по безопасности компании HeadLight Security опубликовал код скрипта, позволяющего обрабатывать перехваченную переписку пользователей приложения "ВКонтакте" для Android и iOS, находящихся в одной локальной сети с хакером. Об этом сообщает TJ.

Код утилиты под названием vkmitm (от MITM - man in the middle, тип атаки "человек посередине") Михаил Фирстов выложил на GitHub. Ее исполняемая часть является скриптом на Python, который ищет в локальной сети запросы приложений "ВКонтакте" для Android или iOS на обновление списка сообщений.

В описании работы утилиты сказано, что запросы имеют одинаковый вид. В них различается только параметр key, который обновляется не чаще раза в два часа и не реже раза в сутки, поэтому использовать его можно продолжительное время. По мнению Фирстова, таким образом можно узнавать не только текст отправляемых и получаемых сообщений конкретным пользователем, но и служебные уведомления вроде "Набирает текст" и "Прочитано".

Чтобы иметь возможность прослушивать трафик, устройству злоумышленника достаточно находиться в одной локальной сети с жертвой - например, открытом Wi-Fi в кафе. "Слушать" сообщения в режиме реального времени необязательно: можно создавать дампы трафика через PCAP и разбирать их по заданной маске позднее.

Как рассказал Фирстов TJ, возможность получать сообщения в незашифрованном виде заложена в мобильных приложениях "ВКонтакте". По какой-то причине они передают их через протокол HTTP, даже если в настройках аккаунта стоит галочка "Всегда использовать защищенное соединение (HTTPS)".

Как уточнил Фирстов, в последнем обновлении приложения VK App для iOS передача сообщений по HTTP была исправлена, но только в том случае, если пользователь указал на сайте "Всегда использовать защищенное соединение (HTTPS)".

Пресс-секретарь "ВКонтакте" Георгий Лобушкин заявил TJ, что клиент для iOS использует HTTPS уже больше года (в нем нет возможности выключить защищенное соединение), а в случае Android трафик шифруется при включенной опции на сайте или в приложении. Когда именно соцсеть полностью собирается перейти на HTTPS, он не уточнил.