Голубушкин: Перехват сообщений из ВКонтакте с мобильника не подтвержден

Вчера на нашем техноблоге был пост о том, что исследователь из HeadLight Security Михаил Фирстов нашел способ перехвата сообщений в социальной сети «ВКонтакте».

Он сообщил, что мобильные приложения «ВКонтакте» не используют безопасный протокол HTTPS по умолчанию, а этим могут воспользоваться администраторы точек доступа Wi-Fi чтобы читать отправленные и полученные пользователями личные сообщения. В подтверждение своих слов Фирстов разработал приложение, перехватывающую HTTP-трафик приложений, и опубликовал его исходный код на GitHub.

После обнаруженная специалистом возможности перехвата сообщений, он не посчитал данную находку уязвимостью и не оповестил о ней администрацию «ВКонтакте». С представителями социальной сети связались репортеры TJournal. В то же время Фирстов заявил, что в последней версии клиента «ВКонтакте» для iOS поддержка HTTPS используется при условии, если пользователь активирует настройку «Всегда использовать защищенное соединение» в web-версии социальной сети.

Георгий Лобушкин, пресс-секретарь «ВКонтакте», заявил, что специалисты по безопасности не смогли подтвердить находку Фирстова. По его словам, официальное приложение «ВКонтакте» для iOS использует HTTPS по умолчанию, не давая пользователю выбора переключится на HTTP. Android-версия ПО предлагает переход на защищенное соединение. После переключения на HTTPS мошенник не сможет получить доступ к сообщениям жертвы путем перехвата Wi-Fi-трафика. В ближайшее время социальная сеть "ВКонтакте" планирует отказаться от использования HTTP, а в будущем - введет новый протокол шифрования и представит собственный мессенджер.