Robando sesiones de Whatsapp web

“Se produce cuando un atacante consigue interceptar una sesión ya establecida. El atacante espera a que la victima se identifique ante el sistema y tras ello le suplanta como usuario autorizado.” ANTRAX.

Esquema.

Desde el 2015 estamos en condiciones de utilizar WhatsApp desde un navegador web.

Un Hacker podría llegar a suplantar la identidad para hacerla propia, con un “Man in the Middle“.

Funcionamiento.

El servidor envía un código QR al navegador del usuario, donde debe ser escaneado con la aplicación WhatsApp desde el dispositivo móvil; si es válido el serviador envía el token correspondiente al navegador.

Underc0de - esquema whatsappweb

La imagen anterior muestra lo que perfectamente podría ser un vector de ataque de Phishing.

El atacante con interceptar el código QR y enviarselo a la victima, con un poco de ingenio utilizando una página suplantada, convencerá al usuario para que escanee el código QR con el dispositivo movil y autentique, lo que permitirá autenticarse en whatsapp web y obtener el token:

Underc0de - esquema de redirección de codigo qr

WhatsApp tiene la política de que el código QR es dinámico, lo que para un atacante con experiencia, no supondrá mayor reto.

La herramienta que presentaremos a continuación captura el código mediante scripting y envía a la victima con el uso de websockets.

Laboratorio.

El repositorio de github a utilizar es: Mawalu

La herramienta que mostraremos es Whatsapp-phising del Alemán Martin Wagner (aka. Mawalu). Utiliza selenium para obtener códigos QR y express.js + socket.io para mostrar en una página aparte. Su funcionamiento:

  • El programa inicia un servidor http y socket.io.
  • Si un nuevo cliente se conecta a socket.io, la aplicación realiza una solicitud a una instancia de selenium para iniciar un nuevo navegador y conectarse a web.whatsapp.com.
  • Posteriormente se obtienen los datos del código QR y los envia al cliente a través de la conexión websocket.
  • El javascript del cliente entonces muestra el código QR al usuario.
  • Si la víctima explora el código con su teléfono, el document.cookie y localStorage del navegador de selenium se descargan en un archivo en la máquina del atacante.
  • Los datos adquiridos se pueden utilizar para iniciar sesión en la cuenta de la víctima utilizando cualquier navegador.
Limitaciones.
  • El usuario verá el navegador adicional cuando enumere sus dispositivos autenticados en Web Whatsapp.
  • La víctima recibirá una advertencia si un navegador adicional se registra en el cliente web mientras está utilizando Whatsapp Web.
  • Sigue siendo un ataque de ingeniería social: la víctima tiene que ser engañada para permitir el acceso.

Instalación.

Instalación
  • Descargar el jar del servidor standalone de selenium e instalar Firefox.
  • Ejecutar los siguientes comandos en la terminal:

Modo de uso.
  • Abrir el navegador e ir a http://localhost:8080
  • Iniciar Whatsapp en el teléfono, ir a Menú –> Whatsapp Web y escanear el código QR desde el navegador.
  • Copiar el contenido del archivo secrets recién creado.
  • Abrir web.whatsapp.com.
  • Abrir la consola de desarrollo.
  • Ingresar el siguiente código:

  • Recargar la página.
  • Debes poder iniciar sesión suplantando a la persona que escaneó el código QR.

 

Fuente: hackplayer.com

Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">