Как пишет TJournal, исполняемый код созданной специалистом по безопасности компании HeadLight Security Михаилом Фирстовым утилиты для взлома "ВКонтакте" представляет собой скрипт на Python. Он ищет в локальной сети запросы приложений "ВКонтакте" для Android или iOS на обновление списка сообщений. С его помощью можно прочитать текст отправляемых и принимаемых сообщений, но идентифицировать пользователя при этом напрямую не выйдет.
Чтобы иметь возможность прослушивать трафик, устройству злоумышленника достаточно находиться в одной локальной сети с жертвой – например, открытом Wi-Fi в кафе. По словам Фирстова, описанная им атака стала возможна из-за того, что разработчики приложений "ВКонтакте" намеренно, с целью экономии передаваемого трафика, использовали для передачи сообщений незащищенный протокол HTTP.
Однако, как сообщил пресс-секретарь "ВКонтакте" Георгий Лобушкин, проведенная специалистами соцсети проверка опровергла большую часть утверждений Фирстова. Приложение для iPhone вообще использует HTTPS всегда, отключить безопасный протокол нельзя. Что касается Android-версии, она, по словам представителя "ВКонтакте", активирует HTTPS, когда включена соответствующая опция. В будущем соцсеть откажется от незащищенного протокола HTTP, пообещал Лобушкин.