Представитель консалтинговой компании Headlight Security Михаил Фирстов рассказал в корпоративном блоге об уязвимости, позволявшей прослушивать трафик пользователей приложения «ВКонтакте» для iOS и Android.
Пресс-секретарь «ВКонтакте» Георгий Лобушкин между тем сказал TJ, что передача сообщений по HTTPS по умолчанию осуществляется в приложении для iOS уже больше года, в версии для Android соответствующую опцию можно включить самостоятельно и работает она исправно.
Результаты проверки наших специалистов по безопасности полностью опровергли доводы, приведённые в статье. Защищённое соединение HTTPS всегда используется в нашем приложении на iOS (его нельзя отключить). Также оно может быть включено пользователем в настройках в приложении на платформе Android. В таком случае получить доступ к переписке пользователя перехватом Wi-Fi-трафика невозможно. В ближайшем будущем мы планируем полностью отказаться от использования HTTP.
(Обновлено в 14:40): В первой версии текста редакция нагнала лишнего ужаса, за что приносит извинения читателям и "ВКонтакте".
Добавить 6 комментариев
Какой-то студент узнал о том, что можно перехватывать HTTP-трафик (ВК перехыватывали годами уже), и решил попиариться на этом, даже Роем повёлся.
Какой-то студент узнал о том, что приложение соцсети продолжает передавать сообщения через HTTP даже при включённом HTTPS.
Так вот что имеет ввиду Дуров, называя Телеграм безопасным!
На Андроид даже выключить нельзя эту опцию, она серая.
Если она у тебя серая, значит она выключена. Советую включить.
Нет, её нельзя именно выключить, она включенная и серая. http://i.imgur.com/63Jvckr.png