Всё верно. Если жертва использует HTTPS, то облом.

Если HTTP, то возможны варианты. Если жертва использует браузер, то можно перехватить сессию и выкачать профиль. Если жертва использует мобильное приложение с отключенным шифрованием, то можно читать эти сообщения, но не более. Подделать запрос мобильного приложения не получится без сертификата.