Администрация «ВКонтакте» опровергла возможность перехвата сообщений по Wi-Fi

Во вторник, 20 октября, SecurityLab сообщал о том, что исследователь из HeadLight Security Михаил Фирстов обнаружил способ перехвата личных сообщений в социальной сети «ВКонтакте». По словам эксперта, мобильные приложения «ВКонтакте» не используют безопасный протокол HTTPS по умолчанию, в связи с чем администраторы точек доступа Wi-Fi могут читать отправленные и полученные пользователями личные сообщения. В подтверждение своих слов Фирстов разработал утилиту, перехватывающую HTTP-трафик приложений, и опубликовал ее исходный код на GitHub.

В связи с тем, что обнаруженная исследователем возможность перехвата сообщений не является уязвимостью, он не оповестил администрацию «ВКонтакте» о проблеме. С представителями российской соцсети связались репортеры TJournal. В то же время Фирстов уточнил, что в новейшей версии клиента «ВКонтакте» для iOS поддержка HTTPS присутствует при условии, если пользователь включил опцию «Всегда использовать защищенное соединение» в web-версии соцсети.

Как сообщил пресс-секретарь «ВКонтакте» Георгий Лобушкин, специалисты по безопасности не смогли подтвердить приведенные в статье Фирстова доводы. По словам Лобушкина, официальное приложение «ВКонтакте» для iOS использует HTTPS по умолчанию, не давая пользователю возможности переключится на HTTP. Android-версия программы предлагает опцию перехода на защищенное соединение. После переключения на HTTPS злоумышленник не сможет получить доступ к сообщениям жертвы путем перехвата Wi-Fi-трафика. В ближайшее время социальная сеть планирует отказаться от использования HTTP, а в дальнейшем - введет новый протокол шифрования и представит собственный мессенджер.