Использование небезопасного протокола HTTP позволяет перехватывать сообщения в ходе атаки «человек посередине».
Специалист ИБ-компании Headlight Security Михаил Фирстов обнаружил способ перехвата личных сообщений «ВКонтакте» с мобильных устройств. Об этом сообщается в блоге компании. Перехват переписки осуществляется с помощью утилиты vkmitm, написанной на языке Python. Программа способна обрабатывать сообщения как в режиме реального времени, так и в offline из файла PCAP.
Для успешного перехвата переписки необходимо предварительно осуществить атаку «человек посередине». По словам Фирстова, проблема существует из-за того, что популярные мобильные приложения «ВКонтакте» для iOS и Android не используют HTTPS по умолчанию.
Например, сторонняя программа vFeed, которая на момент публикации записи находилась на втором месте по популярности в App Store, передает данные пользователей в открытом виде. Эксперту удалось осуществить перехват сообщений, используя настройки приложений по умолчанию. Единственный способ не допустить перехвата личной корреспонденции заключается в использовании последних версий официального клиента «ВКонтакте» с включенной опцией «Защищенное соединение».
Как читать чужие переписки?
Что, если ваша защита — это главная СЛАБОСТЬ? Подпишитесь на наш канал и стань супергероем цифрового мира .
Источник: www.securitylab.ru
Перехват вконтакте: кликджекинг и деанонимизация
Listen to this article
Чтобы открыть контент, необходимо пройти быструю регистрацию или войти в свой профиль. После этого Вы получите полный доступ ко всем материалам на портале.
Спасибо что вы с нами!