Posts Tagged ‘ whatsapp sicurezza ’

Una nuova vulnerabilità di Whatsapp Messenger permette di rubare l’identità ad un’altra persona.

set 18th, 2012 | By

Un ricercatore tedesco ha individuato una nuova vulnerabilità nell’applicazione WhatsApp Messenger , ormai utilizzata su vasta scala da tantissimi utenti nel mondo. In particolare si è scoperto che l’autenticazione degli utenti durante l’invio o la ricezione dei messaggi è violabile . Questo potrebbe permettere ad un estraneo di  prendere pieno possesso  di un account WhatsApp inviando messaggi o di leggere anche le eventuali risposte. Ogni utente che vuole inviare un messaggio o verificare se ha dei messaggi da leggere si autentica sui server attraverso una “password” generata automaticamente dal software. La password è però  facilmente riconducibile  perché si basa sul codice IMEI degli Smartphone non Apple o del MAC Address per gli utenti Apple, l’identificativo del cellulare viene poi invertito e da esso generato il codice Hash MD5. Un  esempio  dell’autenticazione basata sul WLAN MAC address: $wlanMAC = “AA:BB:CC:DD:EE:FF”; // WLAN MAC address di Esempio $iphoneWhatsAppPassword = md5($wlanMAC.$wlanMAC); // calcolo della Password (inversione dell’IMEI e generazione del MD5) L’ username  è ancor più semplicemente il vostro numero di cellulare anteposto dal prefisso internazionale senza il simbolo + o il doppio zero (Es. 393481234567). Siete utilizzatori di WhatsApp?  Bene provate voi stessi ad autentificarvi, vi basterà aprire il vostro Browser e digitare il seguente URL https://r.whatsapp.net/v1/exist.php?cc=$countrycode&in=$phonenumber&udid=$password Dovrete sostituire i campi $countrycode, $phonenumber e $password con i relativi dati ovvero il vostro codice paese (per l’Italia è il 39) senza il simbolo + o il doppio zero, il numero di cellulare e la password che avete attentamente calcolato secondo le specifiche precedentemente illustrate. Se tutto andrà per il meglio il vostro Browser vi riporterà la seguente stringa XML: Notate immediatamente che l’esito dello stato è  OK  il che conferma che avete ottenuto l’accesso al vostro account, se invece la password generata o l’utente non è riconosciuto dal servizio di messaggistica apparirà la dicitura  FAIL .  Con la stessa identica metodologia, invio di variabili GET su PHP, possiamo  inviare messaggi ad utenti WhatsApp  o verificare se ci sono messaggi non letti. Per automatizzare la procedura ci viene in soccorso uno script denominato  WhatsAPI  e disponibile sul circuito GitHub. Tutti i dettagli su questa procedura li trovate direttamente sul blog di OverSecurity . In  conclusione WhatsApp è   vulnerabile , qualsiasi persona può  sostituirci  in una conversazione conoscendo esclusivamente il nostro codice IMEI. Si possono inviare e ricevere risposte senza che il destinatario si accorga di nulla e ancor più gravoso neanche il mittente (utente vulnerabile) avrà la ben che  minima traccia  di quanto accaduto, nella sua cronologia di chat non solo non appariranno i messaggi inviati ma neanche quelli in risposta. Le applicazioni  Android  sono in grado di raccogliere IMEI e numeri di telefoni, non è improbabile che alcuni sviluppatori stiano già raccogliendo queste informazioni e gli  Spammer  iniziano già a offrire soldi per ottenere i dati degli utenti. Nell’ipotesi peggiore  avendo a disposizione il codice IMEI di due utenti che comunemente si scrivono, attraverso l’attacco Man in the Middle potremmo intercettare le loro conversazioni catturando diverse informazioni sensibili  rimanendo completamente all’oscuro . Una  possibile soluzione  della vulnerabilità potrebbe essere l’introduzione di un  Salt Crittografico  all’interno della password rendendo notevolmente più difficile il cracking del Hash Md5. Via | Oversecurity




Warning: file_put_contents(/home/iltuoiph/public_html//wp-content/cache/qc-c-6455c7417093438b2dab2ff0bab601d8-4d6afc1103283ac6958fc84338521100-e315154ae8be48ede9171006c65fab6c.53c240528cc126.28634417.tmp) [function.file-put-contents]: failed to open stream: Disk quota exceeded in /home/iltuoiph/public_html/wp-content/advanced-cache.php on line 229

Fatal error: Uncaught exception 'Exception' with message 'Quick Cache: failed to write cache file for: `/iphone/tag/whatsapp-sicurezza`; possible permissions issue (or race condition), please check your cache directory: `/home/iltuoiph/public_html//wp-content/cache`.' in /home/iltuoiph/public_html/wp-content/advanced-cache.php:233 Stack trace: #0 [internal function]: quick_cache\advanced_cache->output_buffer_callback_handler('<!DOCTYPE html ...', 5) #1 /home/iltuoiph/public_html/wp-includes/functions.php(2773): ob_end_flush() #2 [internal function]: wp_ob_end_flush_all('') #3 /home/iltuoiph/public_html/wp-includes/plugin.php(429): call_user_func_array('wp_ob_end_flush...', Array) #4 /home/iltuoiph/public_html/wp-includes/load.php(580): do_action('shutdown') #5 [internal function]: shutdown_action_hook() #6 {main} thrown in /home/iltuoiph/public_html/wp-content/advanced-cache.php on line 233