Хакер поделился технологией перехвата переписки во «ВКонтакте» через Wi-Fi
19 октября 2015 года
Специалист по безопасности компании HeadLight Security опубликовал код скрипта, позволяющего обрабатывать перехваченную переписку пользователей приложения "ВКонтакте" для Android и iOS, находящихся в одной локальной сети с хакером. Об этом сообщает TJ(недоступная ссылка).
Код утилиты под названием vkmitm (от MITM - man in the middle, тип атаки "человек посередине") Михаил Фирстов выложил на GitHub. Ее исполняемая часть является скриптом на Python, который ищет в локальной сети запросы приложений "ВКонтакте" для Android или iOS на обновление списка сообщений.
В описании работы утилиты сказано, что запросы имеют одинаковый вид. В них различается только параметр key, который обновляется не чаще раза в два часа и не реже раза в сутки, поэтому использовать его можно продолжительное время. По мнению Фирстова, таким образом можно узнавать не только текст отправляемых и получаемых сообщений конкретным пользователем, но и служебные уведомления вроде "Набирает текст" и "Прочитано".
Чтобы иметь возможность прослушивать трафик, устройству злоумышленника достаточно находиться в одной локальной сети с жертвой - например, открытом Wi-Fi в кафе. "Слушать" сообщения в режиме реального времени необязательно: можно создавать дампы трафика через PCAP и разбирать их по заданной маске позднее.
Как рассказал Фирстов TJ, возможность получать сообщения в незашифрованном виде заложена в мобильных приложениях "ВКонтакте". По какой-то причине они передают их через протокол HTTP, даже если в настройках аккаунта стоит галочка "Всегда использовать защищенное соединение (HTTPS)".
Как уточнил Фирстов, в последнем обновлении приложения VK App для iOS передача сообщений по HTTP была исправлена, но только в том случае, если пользователь указал на сайте "Всегда использовать защищенное соединение (HTTPS)".
Пресс-секретарь "ВКонтакте" Георгий Лобушкин заявил TJ, что клиент для iOS использует HTTPS уже больше года (в нем нет возможности выключить защищенное соединение), а в случае Android трафик шифруется при включенной опции на сайте или в приложении. Когда именно соцсеть полностью собирается перейти на HTTPS, он не уточнил.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
