Posted 17 октября 2015,, 15:41
Published 17 октября 2015,, 15:41
Modified 12 ноября 2022,, 08:34
Updated 12 ноября 2022,, 08:34
Специалист по безопасности опубликовали код скрипта, позволяющего перехватывать переписку пользователей приложения «ВКонтакте» для Android и iOS, находящихся в одной локальной сети с хакером.
Этот утилит работает таким образом что, можно узнавать не только текст отправляемых и получаемых сообщений конкретным пользователем, но и служебные уведомления вроде «Набирает текст» и «Прочитано».
Чтобы иметь возможность прослушивать трафик, устройству злоумышленника достаточно находиться в одной локальной сети с жертвой - например, открытом Wi-Fi в кафе.
Возможность получать сообщения в незашифрованном виде заложена в мобильных приложениях «ВКонтакте». По какой-то причине они передают их через протокол HTTP, даже если в настройках аккаунта стоит галочка «Всегда использовать защищённое соединение».
В последнем обновлении приложения VK App для iOS передача сообщений была исправлена. Только, если пользователь указал на сайте «Всегда использовать защищённое соединение».