Хакер поделился технологией перехвата переписки во "ВКонтакте" через Wi-Fi
19 окт 2015 15:40 #26335
от ICT
Moscow-Live.ru
Специалист по безопасности компании HeadLight Security
опубликовал
код скрипта, позволяющего обрабатывать перехваченную переписку пользователей приложения "ВКонтакте" для Android и iOS, находящихся в одной локальной сети с хакером. Об этом сообщает
TJ
. Код утилиты под названием vkmitm (от MITM - man in the middle, тип атаки "человек посередине") Михаил Фирстов выложил на GitHub. Ее исполняемая часть является скриптом на Python, который ищет в локальной сети запросы приложений "ВКонтакте" для Android или iOS на обновление списка сообщений. В описании работы утилиты сказано, что запросы имеют одинаковый вид. В них различается только параметр key, который обновляется не чаще раза в два часа и не реже раза в сутки, поэтому использовать его можно продолжительное время. По мнению Фирстова, таким образом можно узнавать не только текст отправляемых и получаемых сообщений конкретным пользователем, но и служебные уведомления вроде "Набирает текст" и "Прочитано". Чтобы иметь возможность прослушивать трафик, устройству злоумышленника достаточно находиться в одной локальной сети с жертвой - например, открытом Wi-Fi в кафе. "Слушать" сообщения в режиме реального времени необязательно: можно создавать дампы трафика через PCAP и разбирать их по заданной маске позднее. Как рассказал Фирстов TJ, возможность получать сообщения в незашифрованном виде заложена в мобильных приложениях "ВКонтакте". По какой-то причине они передают их через протокол HTTP, даже если в настройках аккаунта стоит галочка "Всегда использовать защищенное соединение (HTTPS)". Как уточнил Фирстов, в последнем обновлении приложения VK App для iOS передача сообщений по HTTP была исправлена, но только в том случае, если пользователь указал на сайте "Всегда использовать защищенное соединение (HTTPS)". Пресс-секретарь "ВКонтакте" Георгий Лобушкин заявил TJ, что клиент для iOS использует HTTPS уже больше года (в нем нет возможности выключить защищенное соединение), а в случае Android трафик шифруется при включенной опции на сайте или в приложении. Когда именно соцсеть полностью собирается перейти на HTTPS, он не уточнил.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.