Сообщение с «ВКонтакте» можно перехватывать с помощью Wi-Fi

Сведения об этом опубликовал один из специалистов компании HeadLight Security Михаил Фирстов. Он сделал общедоступным код сценария, благодаря которому можно перехватывать переписку пользователей «ВКонтакте» для Android и iOS, находящихся в одной локальной сети с хакером как источник.

Об этом он написал в своем микроблоге в GitHub. Утилита под название vkmitm является сценарием на Python, способным искать запросы с «ВКонтакте» при обновлении списка сообщений.

Эти запросы, как следует из описания утилиты, имеют одинаковый вид. Единственное что отличает их друг от друга — параметр key, обновляемый каждые 2:00 в сутки, поэтому его можно использовать длительное время. Фирстов утверждает, что, таким образом, можно узнать не только текст отправленного или полученного сообщения, но и увидеть сообщение «Набирает текст» и «Прочитано».

Для отслеживания чужого переписки достаточно быть в одной беспроводной или локальной сети с «жертвами». Это, например, может быть открыт Wi-Fi в кафе или университете.
Пока нет информации, что стало причиной непосредственно неиспользования HTTPS в процессе передачи личных сообщений. Есть информация, что в последнем обновлении современного приложении VK App именно для iOS исправили передачу сообщений по HTTP, но только тогда, когда пользователем на сайте было указано «Всегда использовать безопасное соединение (HTTPS)».

Пока от модераторов «ВКонтакте» не поступали жалобы на уязвимость чата.