Bogue de WhatsApp: Usurpation d'identité

Tel que rapporté par le site Oversecurity, en fait, problèmes de continuanoo impliquant la plate-forme de messagerie instantanée gratiuita populaire: alors que vous venez de résoudre le nœud de stockage relié aux conversations en clair, un chercheur allemand a été en mesure d'identifier un nouveau point faible, même beaucoup plus inquiétante.

En fait, il est possible de sortir de l'authentification des utilisateurs lors de la réception ou l'envoi de messages: en d'autres termes, un étranger a la possibilité de mettre la main sur un profil envoyer des messages WhatsApp.

Tout utilisateur ayant l'intention d'envoyer un message ou tout simplement pour vérifier s'il ya des messages non lus doit s'authentifier en utilisant un mot de passe sur le serveur: mot de passe qui sera généré par le logiciel automatiquement. Ce mot-clé, cependant, peut être tracée avec la facilité, car il est basé sur le code IMEI de l'adresse Mac pour ceux qui utilisent Android, Interface sull'IMEI et WiFi pour ceux qui utilisent d'Apple. Nous n'allons pas dans les détails sur la façon de trouver le mot de passe, les vrais fans de la non tardé à découvrir ce que le calcul de la MD5 :)

Le nom d'utilisateur, plutôt, est le nombre de cellules, en face de l'indicatif du pays sans le double zéro. Si vous utilisez WhatsApp, Il suffit d'ouvrir un navigateur pour authentifier, tout simplement en tapant un URL spécifique(HTTPS://r.WhatsApp.net/v1/exist.php?cc = $ countrycode&dans = $ numéro de téléphone&udid = $ password) l'insertion, al posto di numéro de téléphone, votre numéro de téléphone, à la place de votre mot de passe et le mot de passe à la place de votre propre code de pays countrycode (à savoir 39 pour ’ Italie). Après avoir tapé la chaîne, le navigateur va créer une chaîne qui contient le résultat positif de l'état. En d'autres termes, a obtenu confirmation que l'accès au compte a été obtenu. Vice versa, dans le cas où apparaît au Fail, signifie que le mot de passe est incorrect.
accesso via browser di WhatsAppSi vous vous demandez si ce qui est indiqué dans l'article est vrai.. iSocial.it voulait vérifier la fiabilité des nouvelles, générer le mot de passe requis, essais et l'authentification via un navigateur, Ceci est le résultat: ouvrages d'accès.

En utilisant la même technique, vous pouvez envoyer des messages à d'autres utilisateurs du service de messagerie, ou vérifier les messages reçus. Pour les autres, il est même possible d'automatiser la procédure, grâce à un script appelé WhatsApi qui se trouve sur le circuit GitHub. Ce script vous permet de tester la sécurité du logiciel permettant d'envoyer et de recevoir des messages par le biais de l'ordinateur au lieu d'utiliser les smartphones. Facile à utiliser, WhatsApi, cependant, nécessite l'installation de PHP, ou encore distribué basé sur UNIX. Une fois que vous avez téléchargé le script, vous devez extraire le contenu, ouvrir le fichier nommé whatsapp.app dans le test de dossier nommé et test avec l'éditeur pour modifier les paramètres déjà vu auparavant (Code du pays, mot de passe et nom d'utilisateur).

Dans le champ Pseudo, bien sûr, doit être pseudonyme spécifié, tandis que dans le domaine de l'expéditeur, vous devez entrer le numéro de téléphone précédé de l'indicatif du pays, sans le double zéro. Une fois que le fichier est enregistré, vous pouvez lancer le script, Suivez les instructions directement du programme: nous, puis, envoyer de nouveaux messages et céder la place à des conversations interactives à travers les différents paramètres.

 

Voyons ce qu'il en pense une solide communauté de Hacker italien:

Dans conclusion WhatsApp est vulnérable, toute personne peut envahissante dans une conversation en sachant que notre IMEI. Vous pouvez envoyer et recevoir des réponses sans que le destinataire s'en rendre compte et même plus lourde, soit l'expéditeur (usager vulnérable) bien qui aura letrace de ce qui s'est passé, Dans son histoire de chat apparaissent non seulement, mais même les messages envoyés en réponse.

Applications Androïde sont capables de collecter et IMEI numéros de mobiles, il n'est pas improbable que certains développeurs recueillent déjà ces informations et Spammeurs commence déjà à offrir de l'argentobtenir des données d'utilisateur.

Dans le pire des quand ils ont le code IMEI de deux utilisateurs qui écrivent couramment, à travers l'attaque Man in the Middle nous pourrions intercepter leurs conversations prendre plusieurs informations sensibles restant complètement inconscients.

A solution possible La vulnérabilité est l'introduction d'un Cryptographique sel dans le mot de passe rend beaucoup plus difficile de la fissuration de hachage Md5.”