elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Comunicaciones
| |-+  Dispositivos Móviles (PDA's, Smartphones, Tablets)
| | |-+  Hacking Mobile
| | | |-+  Presentando WhatsappVoyeur
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Presentando WhatsappVoyeur  (Leído 17,427 veces)
alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Presentando WhatsappVoyeur
« en: 17 Enero 2013, 04:00 am »

Hola gente,

berni69 y un servidor estamos muy liados con el trabajo, cosa que es buena, y aunque ya no aportamos gran cosa a elhacker.net ni a seguridadwireless.net, en fiestas nos hicimos con algo de tiempo para hacer este proyecto, que sin ser realmente una herramienta de espionaje, sirve como una buena prueba de concepto de la poca privacidad real que existe en whatsapp hoy dia (aunque haya mejorado recientemente).

http://www.whatsappvoyeur.com

estamos aún puliendo alguna locura que nos hace el conversor de fechas en circunstancias muy concretas, asi que os pido un poquito de paciencia si veis fechas surrealistas por ahi.

tampoco hemos implementado los emojis aún, porque es trabajo de chinos extraer TODOS los iconos que tiene whatsapp para implementarlos en el código. paciencia.

tengo que agradecer al genio Tarek Galal, que desde Egipto siempre está atento a los cambios del protocolo de whatsapp y es un toda una eminencia haciendo ingenieria inversa del mismo para implementarlo en su API en python, yowsup.

Python coders: no dejeis de seguir su trabajo en github, es inspirador.

saludos,
alist3r


En línea

Back 2 business!
broña

Desconectado Desconectado

Mensajes: 92


Ver Perfil
Re: Presentando WhatsappVoyeur
« Respuesta #1 en: 21 Enero 2013, 21:05 pm »

Increible y curioso...haber si la gente se dá cuenta y se pasa de una puñetera vez al Line.
Una cuestión alist3r...es posible sabiendo el número y el IMEI lograr acceder al historial de conversaciónes que estean en el servidor ???

Y sabiendo la contraseña de la cuenta gmail asociada,se podría acceder al teléfono remotamente de alguna manera?.

Salu2


En línea

alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: Presentando WhatsappVoyeur
« Respuesta #2 en: 23 Enero 2013, 07:16 am »

Increible y curioso...haber si la gente se dá cuenta y se pasa de una puñetera vez al Line.
Una cuestión alist3r...es posible sabiendo el número y el IMEI lograr acceder al historial de conversaciónes que estean en el servidor ???

Y sabiendo la contraseña de la cuenta gmail asociada,se podría acceder al teléfono remotamente de alguna manera?.

Salu2
hola! y gracias.

* si, de momento line parece mas seguro que whatsapp. pero por lo visto spotbros gana la carrera en seguridad a todos los demas


* que yo sepa, nadie ha podido confirmar que el historial de mensajes esté en el servidor de whatsapp y el protocolo no contempla comandos para pedir dicho historial. si los guardan realmente... prefiero no pensar en ello, la verdad.
las fotos si que hemos constatado que se quedan ahi... y cuando pienso que alguna amiguita y las fotos que me ha enviado por whatsapp... no puedo hacer mas que partirme de la risa xDDD

* para acceder a una cuenta, necesitas el password y el user. sabemos que el user es el telefono precedido por el countrycode, asi que no necesitamos adivinarlo. antiguamente, el password era producto directo del IMEI / UID / MAC del terminal (dependiendo de sistemas operativos), pero actualmente los passwords se generan del lado del servidor y se entregan al usuario en el momento del registro, quedando fisicamente guardados en los ficheros de configuracion de la aplicacion. asi que dada la nueva entropia introducida, los passwords solo son capturables si estas esniffando trafico en el mismo instante del registro de la cuenta. ademas (y de esto no estoy muy seguro) parece que el servidor de whatsapp ha introducido un sistema de pinning o algun tipo de control de origen en los certificados ssl, ya que ahora sslstrip no intercepta correctamente el trafico ssl que se genera al descargar las imagenes y otros ficheros, cuando antes era un festival...

la verdad es que han mejorado bastante estos meses. la cuestion es que el modelo de privacidad en si mismo, y la ausencia de throttling en las peticiones, permiten la existencia cosas como whatsapvoyeur.
proximamente hablare sobre ello en detalle en securitybydefault.

saludos!

EDITO: ah! se me olvidaba decirte que no existe ninguna relacion entre las direcciones de correo electronico y las cuentas de whatsapp. piensa que al registrarte en whatsapp no proporcionas ningun email. puedes acceder a ambos servicios desde tu movil, pero no convergen entre si en ningun momento, de la misma manera que puedes acceder a tu cuenta de linkedin y a la de twitter desde tu terminal, pero no por ello debe existir relacion alguna entre ellas, ni el hecho de conocer las credenciales de una te da acceso a la otra. es mas, hay terminales que ni siquiera son smartphones, que no pueden acceder a correo electronico, y que tienen clientes de whatsapp.

Eso, por lo que respecta a acceder a whatsapp. Respecto a acceder "al telefono" en un sentido mas amplio, la pregunta seria demasiado general y como todas las preguntas generales, no tiene respuesta correcta. El abanico de posibilidades se podria contar por miles segun lo que entendieras por "acceder al telefono", marca y modelo, sistema operativo, si existiera algun exploit o bug conocido, si quisieras acceder al sistema de ficheros del terminal o solo robarle cookies u otros datos sensibles, segun el vector de entrada y sus vulnerabilidades, bluetooth, ingenieria social, wifi...
es imposible responder a eso. Pero por suerte para nosotros en lineas generales no hay una forma fácil simple y automática de acceder a los datos de ningun smartphone de forma remota ni próxima. Y esperemos que asi siga siendo!
« Última modificación: 23 Enero 2013, 08:29 am por alist3r » En línea

Back 2 business!
broña

Desconectado Desconectado

Mensajes: 92


Ver Perfil
Re: Presentando WhatsappVoyeur
« Respuesta #3 en: 23 Enero 2013, 20:04 pm »

Gracias por la explicación. Respecto a lo que me refería de acceder al móvil me refería a siendo propietario de la cuenta gmail pero sin tener acceso al teléfono, dejando whatssap a un lado. Por ejemplo....perdiste el móvil y no tienes ningún software instalado de localización. He investigado un poco y he encontrado un par de aplicaciónes gratuitas y muy interesantes en las que sabiendo la cuenta gmail puedes localizar y controlar remotamente el móvil.

Androidlost: lo instalas desde googleplay, luego mandando un sms desde otro teléfono   o con otra aplicación activas la cuenta, a partir de ahí tienes muchísimas posibilidades, desde localizar el telefono, apagarlo,bloquearlo, copiar contenido de la sd..etc

Otra alternativa mas sencilla es PLANB que tambien tiene su mérito.

En línea

alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: Presentando WhatsappVoyeur
« Respuesta #4 en: 24 Enero 2013, 18:59 pm »

Gracias por la explicación. Respecto a lo que me refería de acceder al móvil me refería a siendo propietario de la cuenta gmail pero sin tener acceso al teléfono, dejando whatssap a un lado.

pero no me cambies de tema de esa manera, hombre! jajajajajaja

yo recomiendo cerberus. bien vale su pequeño precio.
y desdeluego no hay nada como PREVENIR! asi que antes de perderlo, mejor instalarle un buen sistema antirrobo.
En línea

Back 2 business!
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 20.018


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Presentando WhatsappVoyeur
« Respuesta #5 en: 24 Enero 2013, 19:39 pm »

jaja me ha hecho gracia el nombre de Voyeur xDD buen detalle lo del sombrero blanco :P

No os podéis ni imaginar la cantidad de gente que ha entrado en el foro buscando "WhatsAppSpy"

Tendría que salir una aplicación apk o servicio on-line para ver todas las fotos subidas por x usuario de teléfono, eso si sería un bombazo y muy divertido, porque con toda la ***** que yo he llegado a subir xDD
En línea

Since 2001
alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: Presentando WhatsappVoyeur
« Respuesta #6 en: 25 Enero 2013, 12:17 pm »

jaja me ha hecho gracia el nombre de Voyeur xDD buen detalle lo del sombrero blanco :P

No os podéis ni imaginar la cantidad de gente que ha entrado en el foro buscando "WhatsAppSpy"

Tendría que salir una aplicación apk o servicio on-line para ver todas las fotos subidas por x usuario de teléfono, eso si sería un bombazo y muy divertido, porque con toda la ***** que yo he llegado a subir xDD

el nombre fue elegido despues de fallar con todas las opciones mas habituales, por culpa de los malditos especuladores de dominos xDDD

te comento: por lo que sabemos el acceso a las fotos que se envian en mensajes, se puede realizar a traves de simples enlaces https protegidos por ofuscacion. si pudieras interceptar el trafico https del teléfono movil, ya tienes gran parte del trabajo hecho (el problema es que parece que ahora utilizan pinning de certificados, al estilo de google, asi que olvidemonos de sslstrip + driftnet)

a nivel historico, no parece que haya ninguna progresion reconocible en las url, ni deberia haberla! eso si, dado que whatsapp guarda sin permiso historiales de los mensajes en tu movil y no los borra aunque tu se lo digas... cualkiera que te lo pille obtiene ese hstorial que comentas sin dificultad.

en cambio, las fotos de perfil, se otienen mediante el protocolo interno de whatsapp y se envian codificadas en paquetes de mensaje, asi que por lo menos desde el punto de vista http no estan accesibles. probablmenente las tengan en carpetas fuera de la carpeta raiz de documentos del servidor web, pero conservarlas... me juego la mano a que las conservan, y a que los BOFH de whatsapp se matan a pajas con todas las fotos guarras que recolectan por ahi... xDDD

solo de pensar todo lo que ha pasad por los servidores de whatsapp, que seguramente no borren, me da una mezcla de terror y perversión xDDD
« Última modificación: 25 Enero 2013, 12:20 pm por alist3r » En línea

Back 2 business!
berni69


Desconectado Desconectado

Mensajes: 798


Sapere aude!!


Ver Perfil WWW
Re: Presentando WhatsappVoyeur
« Respuesta #7 en: 25 Enero 2013, 14:37 pm »

jaja me ha hecho gracia el nombre de Voyeur xDD buen detalle lo del sombrero blanco :P

No os podéis ni imaginar la cantidad de gente que ha entrado en el foro buscando "WhatsAppSpy"

Tendría que salir una aplicación apk o servicio on-line para ver todas las fotos subidas por x usuario de teléfono, eso si sería un bombazo y muy divertido, porque con toda la ***** que yo he llegado a subir xDD

el-brujo me alegra que teguste la iniciativa, ahora ya se pueden ver los iconos y los acentos  :P
En línea

Errar es humano, pero para liar las cosas de verdad se necesita un ordenador

Tutorial Swifi keygen + Airwin 2.0
alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: Presentando WhatsappVoyeur
« Respuesta #8 en: 25 Enero 2013, 16:34 pm »

el-brujo me alegra que teguste la iniciativa, ahora ya se pueden ver los iconos y los acentos  :P

o casi, porque el tema de los emoji está retando a Berni y no funcionan todos aun, asi que paciencia xD
En línea

Back 2 business!
-- KiLiaN --


Desconectado Desconectado

Mensajes: 1.163


Ju Já!!


Ver Perfil
Re: Presentando WhatsappVoyeur
« Respuesta #9 en: 25 Enero 2013, 20:22 pm »

Pues lo estoy probando ahora y me dice "error: not implemented", la primera vez que lo use si que funcionó hace un par de días.
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Presentando Stat de Personajes de Rakion -1th class tutorial de mi juego Latino
Foro Libre
Weeken 0 5,643 Último mensaje 30 Abril 2012, 05:31 am
por Weeken
Google despedaza los pronósticos presentando los mejores números de su historia
Noticias
El_Andaluz 0 426 Último mensaje 1 Febrero 2016, 22:49 pm
por El_Andaluz
Unidades de Google Home estarían presentando fallas
Noticias
wolfbcn 0 534 Último mensaje 5 Junio 2017, 21:37 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines