Presentando WhatsappVoyeur

Iniciado por alister, 17 Enero 2013, 04:00 AM

0 Miembros y 1 Visitante están viendo este tema.

alister

Hola gente,

berni69 y un servidor estamos muy liados con el trabajo, cosa que es buena, y aunque ya no aportamos gran cosa a elhacker.net ni a seguridadwireless.net, en fiestas nos hicimos con algo de tiempo para hacer este proyecto, que sin ser realmente una herramienta de espionaje, sirve como una buena prueba de concepto de la poca privacidad real que existe en whatsapp hoy dia (aunque haya mejorado recientemente).

http://www.whatsappvoyeur.com

estamos aún puliendo alguna locura que nos hace el conversor de fechas en circunstancias muy concretas, asi que os pido un poquito de paciencia si veis fechas surrealistas por ahi.

tampoco hemos implementado los emojis aún, porque es trabajo de chinos extraer TODOS los iconos que tiene whatsapp para implementarlos en el código. paciencia.

tengo que agradecer al genio Tarek Galal, que desde Egipto siempre está atento a los cambios del protocolo de whatsapp y es un toda una eminencia haciendo ingenieria inversa del mismo para implementarlo en su API en python, yowsup.

Python coders: no dejeis de seguir su trabajo en github, es inspirador.

saludos,
alist3r
Back 2 business!

broña

Increible y curioso...haber si la gente se dá cuenta y se pasa de una puñetera vez al Line.
Una cuestión alist3r...es posible sabiendo el número y el IMEI lograr acceder al historial de conversaciónes que estean en el servidor ???

Y sabiendo la contraseña de la cuenta gmail asociada,se podría acceder al teléfono remotamente de alguna manera?.

Salu2

alister

#2
Cita de: broña en 21 Enero 2013, 21:05 PM
Increible y curioso...haber si la gente se dá cuenta y se pasa de una puñetera vez al Line.
Una cuestión alist3r...es posible sabiendo el número y el IMEI lograr acceder al historial de conversaciónes que estean en el servidor ???

Y sabiendo la contraseña de la cuenta gmail asociada,se podría acceder al teléfono remotamente de alguna manera?.

Salu2
hola! y gracias.

* si, de momento line parece mas seguro que whatsapp. pero por lo visto spotbros gana la carrera en seguridad a todos los demas


* que yo sepa, nadie ha podido confirmar que el historial de mensajes esté en el servidor de whatsapp y el protocolo no contempla comandos para pedir dicho historial. si los guardan realmente... prefiero no pensar en ello, la verdad.
las fotos si que hemos constatado que se quedan ahi... y cuando pienso que alguna amiguita y las fotos que me ha enviado por whatsapp... no puedo hacer mas que partirme de la risa xDDD

* para acceder a una cuenta, necesitas el password y el user. sabemos que el user es el telefono precedido por el countrycode, asi que no necesitamos adivinarlo. antiguamente, el password era producto directo del IMEI / UID / MAC del terminal (dependiendo de sistemas operativos), pero actualmente los passwords se generan del lado del servidor y se entregan al usuario en el momento del registro, quedando fisicamente guardados en los ficheros de configuracion de la aplicacion. asi que dada la nueva entropia introducida, los passwords solo son capturables si estas esniffando trafico en el mismo instante del registro de la cuenta. ademas (y de esto no estoy muy seguro) parece que el servidor de whatsapp ha introducido un sistema de pinning o algun tipo de control de origen en los certificados ssl, ya que ahora sslstrip no intercepta correctamente el trafico ssl que se genera al descargar las imagenes y otros ficheros, cuando antes era un festival...

la verdad es que han mejorado bastante estos meses. la cuestion es que el modelo de privacidad en si mismo, y la ausencia de throttling en las peticiones, permiten la existencia cosas como whatsapvoyeur.
proximamente hablare sobre ello en detalle en securitybydefault.

saludos!

EDITO: ah! se me olvidaba decirte que no existe ninguna relacion entre las direcciones de correo electronico y las cuentas de whatsapp. piensa que al registrarte en whatsapp no proporcionas ningun email. puedes acceder a ambos servicios desde tu movil, pero no convergen entre si en ningun momento, de la misma manera que puedes acceder a tu cuenta de linkedin y a la de twitter desde tu terminal, pero no por ello debe existir relacion alguna entre ellas, ni el hecho de conocer las credenciales de una te da acceso a la otra. es mas, hay terminales que ni siquiera son smartphones, que no pueden acceder a correo electronico, y que tienen clientes de whatsapp.

Eso, por lo que respecta a acceder a whatsapp. Respecto a acceder "al telefono" en un sentido mas amplio, la pregunta seria demasiado general y como todas las preguntas generales, no tiene respuesta correcta. El abanico de posibilidades se podria contar por miles segun lo que entendieras por "acceder al telefono", marca y modelo, sistema operativo, si existiera algun exploit o bug conocido, si quisieras acceder al sistema de ficheros del terminal o solo robarle cookies u otros datos sensibles, segun el vector de entrada y sus vulnerabilidades, bluetooth, ingenieria social, wifi...
es imposible responder a eso. Pero por suerte para nosotros en lineas generales no hay una forma fácil simple y automática de acceder a los datos de ningun smartphone de forma remota ni próxima. Y esperemos que asi siga siendo!
Back 2 business!

broña

Gracias por la explicación. Respecto a lo que me refería de acceder al móvil me refería a siendo propietario de la cuenta gmail pero sin tener acceso al teléfono, dejando whatssap a un lado. Por ejemplo....perdiste el móvil y no tienes ningún software instalado de localización. He investigado un poco y he encontrado un par de aplicaciónes gratuitas y muy interesantes en las que sabiendo la cuenta gmail puedes localizar y controlar remotamente el móvil.

Androidlost: lo instalas desde googleplay, luego mandando un sms desde otro teléfono   o con otra aplicación activas la cuenta, a partir de ahí tienes muchísimas posibilidades, desde localizar el telefono, apagarlo,bloquearlo, copiar contenido de la sd..etc

Otra alternativa mas sencilla es PLANB que tambien tiene su mérito.


alister

Cita de: broña en 23 Enero 2013, 20:04 PM
Gracias por la explicación. Respecto a lo que me refería de acceder al móvil me refería a siendo propietario de la cuenta gmail pero sin tener acceso al teléfono, dejando whatssap a un lado.

pero no me cambies de tema de esa manera, hombre! jajajajajaja

yo recomiendo cerberus. bien vale su pequeño precio.
y desdeluego no hay nada como PREVENIR! asi que antes de perderlo, mejor instalarle un buen sistema antirrobo.
Back 2 business!

el-brujo

jaja me ha hecho gracia el nombre de Voyeur xDD buen detalle lo del sombrero blanco :P

No os podéis ni imaginar la cantidad de gente que ha entrado en el foro buscando "WhatsAppSpy"

Tendría que salir una aplicación apk o servicio on-line para ver todas las fotos subidas por x usuario de teléfono, eso si sería un bombazo y muy divertido, porque con toda la ***** que yo he llegado a subir xDD

alister

#6
Cita de: el-brujo en 24 Enero 2013, 19:39 PM
jaja me ha hecho gracia el nombre de Voyeur xDD buen detalle lo del sombrero blanco :P

No os podéis ni imaginar la cantidad de gente que ha entrado en el foro buscando "WhatsAppSpy"

Tendría que salir una aplicación apk o servicio on-line para ver todas las fotos subidas por x usuario de teléfono, eso si sería un bombazo y muy divertido, porque con toda la ***** que yo he llegado a subir xDD

el nombre fue elegido despues de fallar con todas las opciones mas habituales, por culpa de los malditos especuladores de dominos xDDD

te comento: por lo que sabemos el acceso a las fotos que se envian en mensajes, se puede realizar a traves de simples enlaces https protegidos por ofuscacion. si pudieras interceptar el trafico https del teléfono movil, ya tienes gran parte del trabajo hecho (el problema es que parece que ahora utilizan pinning de certificados, al estilo de google, asi que olvidemonos de sslstrip + driftnet)

a nivel historico, no parece que haya ninguna progresion reconocible en las url, ni deberia haberla! eso si, dado que whatsapp guarda sin permiso historiales de los mensajes en tu movil y no los borra aunque tu se lo digas... cualkiera que te lo pille obtiene ese hstorial que comentas sin dificultad.

en cambio, las fotos de perfil, se otienen mediante el protocolo interno de whatsapp y se envian codificadas en paquetes de mensaje, asi que por lo menos desde el punto de vista http no estan accesibles. probablmenente las tengan en carpetas fuera de la carpeta raiz de documentos del servidor web, pero conservarlas... me juego la mano a que las conservan, y a que los BOFH de whatsapp se matan a pajas con todas las fotos guarras que recolectan por ahi... xDDD

solo de pensar todo lo que ha pasad por los servidores de whatsapp, que seguramente no borren, me da una mezcla de terror y perversión xDDD
Back 2 business!

berni69

Cita de: el-brujo en 24 Enero 2013, 19:39 PM
jaja me ha hecho gracia el nombre de Voyeur xDD buen detalle lo del sombrero blanco :P

No os podéis ni imaginar la cantidad de gente que ha entrado en el foro buscando "WhatsAppSpy"

Tendría que salir una aplicación apk o servicio on-line para ver todas las fotos subidas por x usuario de teléfono, eso si sería un bombazo y muy divertido, porque con toda la ***** que yo he llegado a subir xDD

el-brujo me alegra que teguste la iniciativa, ahora ya se pueden ver los iconos y los acentos  :P
Errar es humano, pero para liar las cosas de verdad se necesita un ordenador

Tutorial Swifi keygen + Airwin 2.0

alister

Cita de: berni69 en 25 Enero 2013, 14:37 PM
el-brujo me alegra que teguste la iniciativa, ahora ya se pueden ver los iconos y los acentos  :P

o casi, porque el tema de los emoji está retando a Berni y no funcionan todos aun, asi que paciencia xD
Back 2 business!

-- KiLiaN --

Pues lo estoy probando ahora y me dice "error: not implemented", la primera vez que lo use si que funcionó hace un par de días.
Entren al chat de elhacker.net
    
   

@kln13