QRLJacking exposição no WhatsApp e como eles podem roubar sessões e informações associadas: contatos, conversas e assim sobre .
A engenharia social é um ramo muito antiga de segurança do computador. O jogo de gato e rato no qual as vítimas devem ser espabiladas para evitar cair na armadilha. Hoje queremos para falar sobre QRLJacking , uma técnica que permite, utilizando o QR Code , realizar ataques que colocam em vantagem para o atacante. Como um exemplo, nós apresentamos o mais famoso serviço que faz uso de QR Code , WhatsApp . WhatsApp tem a opção de ser usado pelo seu aplicativo web WhatsApp Web . Primeiro de tudo, dizer que o artigo é totalmente educativo e informativo. Nós são não se responsabiliza pelo uso indevido dessas informações .
Pessoas OWASP lançou uma ferramenta chamada QRLJacking , que permite que o auditor para realizar tais testes simples e direta. O que é este tipo de teste?
O esquema é simples. Primeiro, você deve configurar um servidor Web onde a armazenar um site falso e QR Code com o qual você deseja para enganar a vítima. De alguma forma, obter a visita vítima deste site falso e ler o código QR com o seu dispositivo móvel. A partir desse ponto, o atacante terá tudo que você precisa para obter o privilégio. Por WhatsApp , os atacantes procuram para mostrar um QR Code of WhatsApp Web à vítima e, por engano dele, ficando a sessão WhatsApp da vítima.
Montando necessário
Primeiro, você precisa para baixar arquivos QRLJacking , que pode ser realizada a partir de Github . Como indicado no próprio Github, não são duas partes diferentes em moldar o ataque: o partido do lado do cliente e a parte do lado do servidor .
Parte do lado do servidor precisa fazer o upload do arquivo qrHandler.php para um servidor web. Este arquivo é responsável por transformar o QR Code para ser capturado a partir de WhatsApp para base64 . O arquivo PHP retorna um arquivo JPG com o QR Code.
Em adição, nós usamos a imaginação de cada um para "convencer" o usuário que o QR Code, que será mostrado em um web preparada deve ser lido com o aplicativo WhatsApp . Para ilustrar isso, vamos criar um site onde o usuário é informado de que não é um prêmio e participar deve ler o QR Code com a aplicação de WhatsApp .
Parte do lado do cliente é a parte mais "Javascript" . Nós precisamos para realizar várias ações em seu navegador para capturar o código QR do WhatsApp e enviá -lo para o arquivo PHP localizado na parte do lado do servidor , explicado acima. O que definir o nosso Firefox
- Primeiro, você tem que digitar na barra de endereços "about: config" para as configurações do navegador de acesso. Temos de encontrar a directiva "security.csp.enable" e desativá-lo.
- Em seguida, usando a necessidade Greasemonkey add-on para carregar os WhatsAppQRJackingModule.js de arquivo. Este plugin Firefox é responsável por injetar a necessidade de extrair o site da QR WhatsApp Web e enviá-lo para o arquivo PHP qrHandler.php, localizado no código JS servidor web. arquivo JPG é então gerada com a imagem do código QR removida eo site falso pode usar este código QR.
- Finalmente, você deve acessar o site a partir do nosso próprio navegador Web WhatsApp. todo o processo terá lugar, explicado acima, eo processo de engenharia social é correta, sessão Web WhatsApp um usuário é obtido.
Dê-me sua sessão WhatsApp Web
A teia de WhatsApp Web gera códigos QR cada 'x' tempo, para que o código JS injetada pelo plugin em todos os tempos 'x' para ir extrair o código QR e gerar o processo. Em seguida, ele mostra um QR Code válido no site do WhatsApp Web .
Neste momento, o Firefox plug-in Greasemonkey capta o código QR e envia -lo para o servidor onde você configurou. Para esta prova de conceito, o base64 QR Code é enviado para o endereço IP do atacante, o arquivo QRHandler.php, que geram o arquivo JPG com a imagem do código QR.
Agora é hora de ver como um atacante pode trabalhar para a vítima ler o QR Code com o seu telemóvel. Para fazer isso, ele pode fazer uma phishing clássico em que indicou que ganhou um prêmio, talvez subscription infinite WhatsApp . Isso já cai na imaginação de todos. O site apresentado a seguir atualizado vez a cada 'x' o QR Code. Ninguém dá difícil de pesetas, é algo que devemos sempre ter em sua cabeça. Se temos um prêmio sobre a Internet, a desconfiança.
Se a vítima cai para este tipo de engano, o atacante recebe a sessão WhatsApp no seu navegador web. Ou seja, no mesmo lugar onde o plugin Firefox está injetando o código JS para capturar o Código QR original do WhatsApp .
Finalmente, dizer que não é outro vetor de ataque Man in the Middle, em uma rede de área local. Com este ataque um invasor pode injetar o QR Code em sites legítimos, realizando ataque talvez mais real. De qualquer forma, a prova interessante do conceito de que nos ajuda a ver como pode ser fácil, às vezes, a cair para as múltiplas ameaças de Internet. A engenharia social continua a progredir e melhorar a novas tecnologias que aparecem, de modo que a consciência e bom uso delas é vital para ser um pouco mais seguro na rede.
