In questo post spieghiamo un nuovo vettore d’attacco conosciuto come QRLJacking, applicato a whatsapp.
In questo modo sfruttiamo l’interfaccia web, whatsapp web, per accedere da remoto all’account che ci interessa!

Questo articolo è molto differente dai soliti articoletti che vi invitano a sequestrare lo smartphone del vostro partner per poter attuare l’attacco.
No. NON avrete bisogno dello smartphone sottomano per attuare questa procedura. Tutt’altro, è pensato per funzionare da remoto, a distanza!

QRLJacking e whatsapp hack!

Come funziona?

Whatsapp offre due metodi di connessione. Il primo è usando nativamente l’applicazione mobile installata sul nostro smartphone. Il secondo è attraverso l’interfaccia web whatsapp. La versione web ha un metodi di autenticazione complesso. Non devi inserire infatti alcun username o password. Hai semplicemente bisogno di scannerizzare un QR-Code dal tuo dispositivo mobile, dall’app di whatsapp. Questo modo di autenticarsi non è del tutto indipendente dal primo. Infatti è necessario che lo smartphone sia connesso e collegato affinchè la sessione sull’interfaccia web sia attiva.

I servizi di whatsapp forzano l’uso di HTTPS, dunque non è possibile effettuarci sopra attacchi del tipo MITM. E il qr-code sulla pagina web è valido per soli 20 secondi. Ciò significa 3 qr-code ogni minuto.

Di cosa abbiamo bisogno per hackerare un account whatsapp?

Supponiamo di non avere accesso al telefono vittima. Lo scenario a questo punto richiede l’interazione col bersaglio, e dunque andiamo di ingegneria sociale.

1. L’hacker visita web.whatsapp.com e ottiene il qr-code che “specchia” su un sito web. Poi mandato alla vittima convincendolo a far la scansione.
2. Se si è sulla stessa LAN, non si ha nemmeno bisogno di inviare un link. Si può effettuare un ARP Poisoning o un DNS spoofing per iniettare direttamente del contenuto malevolo nelle pagine che il bersaglio visita.

Qui di seguito un video di come funziona l’attacco:

Reperire whatsapp hack

Il software impacchettato e pronto all’uso è disponibile, per chi lo volesse, privatamente. Scriveteci in chat alla nostra pagina facebook o via email!