Ранее сообщалось, что исследователем из HeadLight Security Михаилом Фирстовым был обнаружен новый способ перехвата личных сообщений в социальной сети «ВКонтакте». Как утверждает эксперт, мобильными приложениями «ВКонтакте» по умолчанию не используется протокол HTTPS, вследствие чего у администраторов точек Wi-Fi есть доступ к личным сообщениям пользователей.
В качестве доказательства своих слов Фирстов создал утилиту, которая осуществляет перехват HTTP-трафика приложений. Позднее ее исходный код был размещен экспертом на GitHub.
Фирстов пояснил, что в последней версии клиента «ВКонтакте» для iOS поддержка HTTPS присутствует лишь в том случае, если пользователем в веб-версии социальной сети была активирована опция постоянного использования безопасного соединения.
По словам Георгия Лобушкина, пресс-секретаря «ВКонтакте», специалистам по безопасности не удалось подтвердить те доводы, которые Фирстов привел в своей статье. Лобушкин утверждает, что в официальном приложении «ВКонтакте» для iOS HTTPS используется по умолчанию, а у пользователя отсутствует возможность переключения на HTTP. В Android-версии программы есть опция переключения на защищенное соединение. После того, как будет осуществлен переход на HTTPS, хакер не сможет перехватывать Wi-Fi-трафик, что автоматически лишает его доступа к личным сообщениям жертвы. «ВКонтакте» планирует вскоре отказаться от использования HTTP, а в перспективе предусмотрено введение нового протокола шифрования и запуск собственного мессенджера.