Уязвимость «ВКонтакте» позволяет перехватывать сообщения с мобильных устройств

Летом этого года «ВКонтакте» запустила программу вознаграждений за уязвимости. Минимальное гонорар составляет 100 долларов. Награда зависит от серьезности уязвимости прямо пропорционально. Как бы то ни было, не все хакеры спешат сообщить об уязвимостях администрации сервиса, некоторые спешат поделиться с общественностью.

О найденной во «ВКонтакте» уязвимости рассказал публично эксперт компании HeadLight Security Михаил Фирстов. Выявленная им брешь безопасности позволяет перехватывать личные сообщения пользователей при атаке известной как Man-in-The-Middle (человек посередине).

Для чтения чужой персональной переписки в соцсети достаточно находиться в одной беспроводной или локальной сети с компьютером или мобильным устройством жертвы, авторизованным во «ВКонтакте». Для демонстрации возможности эксплуатации данной уязвимости можно воспользоваться соответствующей утилитой – vkmitm, которая позволяет обрабатывать сообщения из трафика в режиме реального времени или офлайн из PCAP-файла.

Как отмечает Securitylab, Михаил Фирстов - эксперт группы тестирования на проникновение HeadLight Security. С 15 лет выступает на крупнейших конференциях по информационной безопасности - PHDays, Defcon Moscow, Zeronights. Один из последних его докладов, прозвучавших на десятой встрече Defcon Moscow, был посвящен уязвимостям современных роутеров и модемов.

«ВКонтакте» пока не прокомментировала сообщения об обнаруженной уязвимости.