Una nuova vulnerabilità di Whatsapp Messenger permette di rubare l’identità ad un’altra persona.

Un ricercatore tedesco ha individuato una nuova vulnerabilità nell’applicazione WhatsApp Messenger, ormai utilizzata su vasta scala da tantissimi utenti nel mondo. In particolare si è scoperto che l’autenticazione degli utenti durante l’invio o la ricezione dei messaggi è violabile. Questo potrebbe permettere ad un estraneo di prendere pieno possesso di un account WhatsApp inviando messaggi o di leggere anche le eventuali risposte.

Ogni utente che vuole inviare un messaggio o verificare se ha dei messaggi da leggere si autentica sui server attraverso una “password” generata automaticamente dal software. La password è però facilmente riconducibile perché si basa sul codice IMEI degli Smartphone non Apple o del MAC Address per gli utenti Apple, l’identificativo del cellulare viene poi invertito e da esso generato il codice Hash MD5.

Un esempio dell’autenticazione basata sul WLAN MAC address:

$wlanMAC = “AA:BB:CC:DD:EE:FF”; // WLAN MAC address di Esempio
$iphoneWhatsAppPassword = md5($wlanMAC.$wlanMAC); // calcolo della Password (inversione dell’IMEI e generazione del MD5)

L’username è ancor più semplicemente il vostro numero di cellulare anteposto dal prefisso internazionale senza il simbolo + o il doppio zero (Es. 393481234567).

Siete utilizzatori di WhatsApp? Bene provate voi stessi ad autentificarvi, vi basterà aprire il vostro Browser e digitare il seguente URL

https://r.whatsapp.net/v1/exist.php?cc=$countrycode&in=$phonenumber&udid=$password

Dovrete sostituire i campi $countrycode, $phonenumber e $password con i relativi dati ovvero il vostro codice paese (per l’Italia è il 39) senza il simbolo + o il doppio zero, il numero di cellulare e la password che avete attentamente calcolato secondo le specifiche precedentemente illustrate.

Se tutto andrà per il meglio il vostro Browser vi riporterà la seguente stringa XML:

<exist>
<response status=”ok” result=”393481234567″/>
</exist>

Notate immediatamente che l’esito dello stato è OK il che conferma che avete ottenuto l’accesso al vostro account, se invece la password generata o l’utente non è riconosciuto dal servizio di messaggistica apparirà la dicitura FAIL.

 Con la stessa identica metodologia, invio di variabili GET su PHP, possiamo inviare messaggi ad utenti WhatsApp o verificare se ci sono messaggi non letti. Per automatizzare la procedura ci viene in soccorso uno script denominato WhatsAPI e disponibile sul circuito GitHub. Tutti i dettagli su questa procedura li trovate direttamente sul blog di OverSecurity.

In conclusione WhatsApp è vulnerabile, qualsiasi persona può sostituirci in una conversazione conoscendo esclusivamente il nostro codice IMEI. Si possono inviare e ricevere risposte senza che il destinatario si accorga di nulla e ancor più gravoso neanche il mittente (utente vulnerabile) avrà la ben che minima traccia di quanto accaduto, nella sua cronologia di chat non solo non appariranno i messaggi inviati ma neanche quelli in risposta.

Le applicazioni Android sono in grado di raccogliere IMEI e numeri di telefoni, non è improbabile che alcuni sviluppatori stiano già raccogliendo queste informazioni e gli Spammer iniziano già a offrire soldi per ottenere i dati degli utenti.

Nell’ipotesi peggiore avendo a disposizione il codice IMEI di due utenti che comunemente si scrivono, attraverso l’attacco Man in the Middle potremmo intercettare le loro conversazioni catturando diverse informazioni sensibili rimanendo completamente all’oscuro.

Una possibile soluzione della vulnerabilità potrebbe essere l’introduzione di un Salt Crittografico all’interno della password rendendo notevolmente più difficile il cracking del Hash Md5.

Via | Oversecurity

Un ricercatore tedesco ha individuato una nuova vulnerabilità nell’applicazione WhatsApp Messenger, ormai utilizzata su vasta scala da tantissimi utenti nel…

Reaction
Mi Piace Love Haha Wow Sigh Grrr
Se questo articolo ti è piaciuto, seguici su Telegram per restare sempre aggiornato su temi simili oppure su Facebook. Ci trovi anche su Twitter e su Instagram, pronti a sorprenderti con belle foto. Iscriviti infine al nostro canale YouTube per non perderti i nostri video!
Pubblicato in:
Prima di commentare, leggi il Regolamento. Se commenti, dichiari di aver letto ed accettato tutte le nostre regole sulle discussioni nel nostro Blog.