Секретные данные в мобильных приложениях

Всем доброго времени суток! Интересует меня следующее: в каком виде и по каким каналам передаются секретные данные (логины, пароли и т.д.) в мобильных приложениях, например в официальных клиентах социальных сетей? Можно ли их как-то перехватить?

 

например здесь: https://vk.com/dev/main
все написано.

 

Так же, как и во всех обычных форумах и соц.-сетях.
Америки не откроешь и велосипед не изобретёшь.

 

Как правило, по ровно тем же. Обычно это ssl + web api.

 

Я новичок в этой теме и пока многого ещё не понимаю. Но я пробовал перехватить через SSLStrip и ничего не вышло.

 

Ясно.
Данные пользователей перехватил в зашифрованном виде, и хочешь увидеть их plain text?

 

Почитайте про принцип этой атаки - и вопросов не останется.

 

Да. Как можно их расшифровать? Возможно ли это вообще?

 

Принцип я знаю: ко мне данные приходят не по SSL, а уже от меня на сервер идут по SSL...

 

Возможно. Способов - много их.
В начале - познакомиться с gpg и научиться генерировать для себя ключ шифрования RSA и SHA-512.

Далее, будет сложней и интересней.
Научиться генерировать сертификат от сайтов с openSSL и подставлять свой сайт, со своим сертификатом.

Расшифровать - не получится. Получиться предлагать зайти на свой сайт с https и использовать свой сертификат.

Подвох будет виден в броузере, в Firefox.

 

Ясно, спасибо, буду разбираться

 

altblitz , а как это поможет получить логин и пароль пользователя, если он использует мобильное приложение?

 

Мы с жертвой находимся в одной запароленной Wi-Fi сети, вот вопрос, как узнать её логин и пароль, если она (жертва) использует мобильный клиент ВКонтакте? Нужно узнать эти данные не заставляя жертву вводить их (они уже введены в программе-клиенте и используются). Как быть?