Приложения социальной сети «ВКонтакте» для мобильных устройств, работающих под управлением операционной системы iOS и Android, имеют уязвимость, которая позволяет перехватывать генерируемый ими трафик и расшифровывать информацию. К такому выводу пришел российский хакер Михаил Фирстов. Он написал небольшую программку, которая способна читать сообщения владельцев аккаунтов самого популярного российского социального ресурса.
Как утверждает Михаил Фирстов, условием для перехвата сообщений является нахождение хакера в одной Wi-Fi сети с жертвами. Перехват возможен потому, что официальные приложения соцсети игнорируют передачу данных по защищенному протоколу HTTPS, используя уязвимый протокол HTTP. И такая передача происходит даже тогда, когда пользователь выбирает более безопасный вариант.
Как считает эксперт, причиной такой беспечности разработчиков приложений для российской соцсети является экономия мобильного трафика. Тем не менее, баг в приложении для айфонов и айпадов был оперативно исправлен, и теперь протокол HTTPS работает в нем исправно.
Представитель «ВКонтакте» Георгий Лобушкин частично опроверг информацию Михаила Фирстова. Он заявил, что в приложении для iOS уже достаточно давно используется только защищенный вариант соединения, и отключить его нельзя. Что касается операционной системы Android, то Лобушкин отметил корректную работу протокола HTTPS, если соответствующая опция включена. Когда и для приложений под эту платформу протокол HTTP будет недоступным, представитель соцсети не уточнил.