Российский специалист по компьютерной безопасности обнародовал код, позволяющий читать переписку пользователей приложений “ ВКонтакте” Для iOS и Андроид. Для того, чтобы “ хак” сработал, надобно, чтобы “ шпион” и его жертвы находились в одной сети Wi-Fi.

О созданию специалиста по безопасности организации HeadLight Security Михаила Фирстова пишет TJournal ссылаясь на микроблог автора в твиттер.

Исполняемый код созданной Фирстовым утилиты для взлома “ ВКонтакте” представляет собой скрипт на Python. Этот скрипт ищет в локальной сети запросы приложений “ ВКонтакте” для Андроид или iOS на обновление списка сообщений. Злоумышленик может прочитать текст отправляемых и принимаемых сообщений, однако определить пользователя при этом напрямую не может.

По данным Фирстова, описанная им атака стала возможна из-за того, что разработчики приложений “ ВКонтакте” намеренно, для того, чтобы экономии передаваемого трафика, использовали для передачи сообщений незащищенный протокол HTTP. К тому же используется он даже тогда, когда пользователь активировал в настройках приложения применение защищенного HTTPS.

Однако, как сказал изданию уполномоченный “ ВКонтакте” Георгий Лобушкин, проведеная специалистами соцсети проверка отвергла большую часть утверждений Фирстова. Так, приложение для iPhone вообще использует HTTPS всегда, отключить безопасный протокол нельзя. Что касается Android-версии, тогда она, заявляет уполномоченный “ ВКонтакте”, активирует HTTPS когда включена соответствующая опция. В будущем, дает обещание Лобушкин, социальная сеть хочет полностью отказаться от незащищенного протокола HTTP.

Прежде в этом месяце, вспомним, было оглашено еще об одной уязвимости, связанной с “ ВКонтакте”. Эксперты “ Лаборатории Касперского” выявили в магазине Google Play вредоносное приложение для прослушивания музыки “ Музыка ВКонтакте”, которое похищало учетные записи пользователей в соцсети. По результатам экспертизы “ ЛК”, его потерпевшими могли стать “ сотни тыс. пользователей Android-устройств, Большей частью из России”.