Доступ к переписке во «ВКонтакте» можно получить, подключившись к одной Wi-Fi-точке
Российский специалист в сфере информационной безопасности, Михаил Фирстов, написал скрипт, посредством которого обрабатывается и дешифруется переписка пользователей соцсети «ВКонтакте», осуществляемая с мобильных устройств на платформах iOS и Android. Необходимым условием перехвата личных сообщений является размещение хакера в одной локальной сети с пользователем социального сообщества.
Утилита vkmitm написана на языке Python, в локальной сети она осуществляет поиск запросов приложений соцсети для обновления списка сообщений. Для просмотра трафика устройство хакера должно находиться в пределах одной локальной сети, например, в быть подключенным к одинаковой точке Wi-Fi в общественном месте.
Фирстов добавил, что через мобильные устройства пересылка сообщений соцсети осуществляется в незашифрованном виде, даже если пользователь желает использовать защищенное соединение HTTPS. Он считает, что безопасный вид пересылки был отключен с целью экономии мобильного трафика. Он сообщил, что написанный им скрипт позволяет перехватывать трафик из «ВКонтакте» и расшифровывать его. Елементарнейший способ атаки – ARP-спуфинг – позволяет просматривать весь чужой трафик, проходящий от мобильного устройства к роутера, а после – направляющегося в интернет. Таким образом можно просматривать все данные, передаваемые через соцсеть «ВКонтакте».
Фирстов добавил, что лишь последняя версия приложения VK App для iOS-устройств поддерживает передачу материалов по защищенному каналу передачи. На это заявление Георгий Лобушкин, представляющий сообщество «ВКонтакте», ответил сообщением, что HTTPS для iOS работает более года, а передача трафика через Android шифруется при активации соответствующей функции. О сроках, когда все пользователи «ВКонтакте» будут переведены на защищенное соединение, не сообщают.
В начале октября сотрудники «Лаборатории Касперского» рассказали о варианте похищения данных пользователей соцсети через приложение для прослушивания музыки. Эту личную информацию злоумышленники использовали для продвижения различных групп в соцсети.