Администрация "ВКонтакте" опровергла возможность перехвата сообщений по Wi-Fi
22.10.2015
Исследователь из HeadLight Security Михаил Фирстов обнаружил способ перехвата личных сообщений в социальной сети "ВКонтакте". По словам эксперта, мобильные приложения "ВКонтакте" не используют безопасный протокол HTTPS по умолчанию, в связи с чем администраторы точек доступа Wi-Fi могут читать отправленные и полученные пользователями личные сообщения. В подтверждение своих слов Фирстов разработал утилиту, перехватывающую HTTP-трафик приложений, и опубликовал ее исходный код на GitHub.
В связи с тем, что обнаруженная исследователем возможность перехвата сообщений не является уязвимостью, он не оповестил администрацию "ВКонтакте" о проблеме. С представителями российской соцсети связались репортеры TJournal. В то же время Фирстов уточнил, что в новейшей версии клиента "ВКонтакте" для iOS поддержка HTTPS присутствует при условии, если пользователь включил опцию "Всегда использовать защищенное соединение" в web-версии соцсети.
Как сообщил пресс-секретарь "ВКонтакте" Георгий Лобушкин, специалисты по безопасности не смогли подтвердить приведенные в статье Фирстова доводы. По словам Лобушкина, официальное приложение "ВКонтакте" для iOS использует HTTPS по умолчанию, не давая пользователю возможности переключится на HTTP. Android-версия программы предлагает опцию перехода на защищенное соединение. После переключения на HTTPS злоумышленник не сможет получить доступ к сообщениям жертвы путем перехвата Wi-Fi-трафика. В ближайшее время социальная сеть планирует отказаться от использования HTTP, а в дальнейшем - введет новый протокол шифрования и представит собственный мессенджер.
