Эксперт компании HeadLight Security Михаил Фирстов обнаружил фичу в популярной социальной сети «ВКонтакте«. Выявленный недостаток защищенности позволяет перехватывать личные сообщения пользователей, при атаке, известной как «человек посередине» (Man-in-The-Middle).
Для чтения чужой персональной переписки достаточно находиться в одной беспроводной или локальной сети с компьютером или мобильным устройством жертвы, авторизованным в социальной сети. Для демонстрации возможности эксплуатации данной уязвимости можно воспользоваться соответствующей утилитой — vkmitm, которая позволяет обрабатывать сообщения «ВКонтакте» из трафика в режиме реального времени или офлайн из PCAP-файла.
Михаил Фирстов — эксперт группы тестирования на проникновение HeadLight Security. С 15 лет выступает на крупнейших конференциях по информационной безопасности — PHDays, Defcon Moscow, Zeronights. Один из последних его докладов, прозвучавших на десятой встрече Defcon Moscow, был посвящён уязвимостям современных роутеров и модемов (ссылка).
Автор:
Дата публикации: