С введением таких изменений, как сквозное шифрование для всех пользователей, WhatsApp превратился из приложения, игнорирующего безопасность, в приложение, которое многие уважают. Учетные записи WhatsApp основаны на номерах телефонов.
Это означает, что ваш номер телефона является вашим логином, который также используется для аутентификации.
Хотя это не лучшее решение с точки зрения конфиденциальности, оно часто избавляет незащищенных пользователей от необходимости запоминать еще один пароль, который они потенциально могут ввести во время фишинговой атаки.
Краткий обзор процесса входа в систему: 
При первом запуске приложения пользователю необходимо ввести свой номер телефона.
Код подтверждения отправляется на номер по SMS или звонком.
После этого код вводится в приложение, токен аутентификации сохраняется на устройстве.
Когда пользователь использует новое устройство, процесс необходимо повторить для этого устройства, и старое устройство будет деавторизовано.
WhatsApp не сохраняет старые сообщения на своих серверах, поэтому предыдущие сообщения не будут перенесены на новое устройство.
Конечно, на самом деле процесс сложнее, но такое упрощение подходит для целей данной статьи.
Удобство заменяет безопасность.
Платой за это является уязвимость к новым атакам, которые можно использовать для получения доступа к номеру телефона.
Для этого также необходимо доверять оператору мобильной связи, поскольку он имеет полный доступ к номеру и может легко получить доступ к учетной записи.
Со стороны нападающего
С точки зрения «малобюджетного» злоумышленника обойти это сложно.Есть только два обходных пути: 1) Получение доступа к телефону жертвы.
Как говорилось выше, этого можно получить путем различных атак на сеть или мобильного провайдера.
Даже если доступ к номеру телефона удастся получить, это не даст доступа к истории сообщений и жертва это заметит, так как его телефон будет деавторизован.
2) Троянить сам телефон и получить доступ к разделу данных.
Это дорого.
Знакомьтесь с новым игроком
В 2015 году WhatsApp запустил Whatsapp Web — сайт, который позволяет отправлять и получать сообщения с вашего компьютера.Чтобы использовать это, браузер должен быть «сопряжен» с телефоном, при этом телефон остается «ответственным» за все это.
Краткий обзор процесса: 
Сканируя QR-код, показанный на веб-странице WhatsApp, с помощью браузера телефона, вы авторизуетесь.
После этого пользователь сможет использовать WhatsApp в браузере, пока телефон подключен к сети.
Эта процедура открывает дверь для злоумышленников.
Хитрость заключается в том, чтобы отсканировать QR-код, и он предоставит вам полный доступ к вашей учетной записи, включая будущие и прошлые сообщения.
Бинго!
Описание атаки
Все просто: злоумышленнику достаточно заставить пользователя отсканировать «вредоносный» QR-код, чтобы авторизовать браузер злоумышленника.
Это даст ему полный доступ к своей учетной записи WhatsApp.
На следующем изображении показано, как это работает: 
Для этого WhatsApp не должен отображать статический QR-код на странице регистрации, а должен генерировать новый каждые пару секунд. Это не позволяет злоумышленникам просто скопировать код и разместить его на новой странице.
Демо
«этот инструмент, который я разработал с использованием Selenium для получения QR-кодов и express.js +ocket.io для их отображения на странице.Если жертва сканирует этот код с помощью своего телефона, браузер document.cookie и localStorage selenium сохраняются в файл на компьютере злоумышленника.
Полученные данные можно использовать для входа в аккаунт жертвы с помощью любого браузера.
→ Код на GitHub Теги: #взлом #безопасность #аккаунты #информационная безопасность
-
Волгоград
19 Oct, 24 -
Выпущен Windows Server 2012 Essentials
19 Oct, 24 -
Легитимный Троян Уже На Борту
19 Oct, 24 -
Вы Когда-Нибудь Платили За Веб-Сервисы?
19 Oct, 24 -
Конец Сетевого Нейтралитета В Техасе
19 Oct, 24 -
Активный Xss В Твиттере
19 Oct, 24 -
Операция «Y» И Новая Библиотека Abi
19 Oct, 24
