Selamlar,
Whatsapp web sürümü yayımlanmıştır belki duymuşsunuzdur. Bu web yazılımı sayesinde artık web browserdan görüşüldüğü üzere sesler, videolar, fotoğraflar, mesajlar belirli bir cache (ön bellek) sistemine kayıt olmakta.

Örneğin göndermiş olduğum bir ses kaydı: https://mmv293.whatsapp.net/d/Avh1CVKA1sn8NyVA_rErQW1PmGTYEWYmuFKzsB5lEMO5.mp3 (değiştirilmiştir sesi dinleyemezsiniz.)

Yani bir web sunucusunda..

Avh1CVKA1sn8NyVA_rErQW1PmGTYEWYmuFKzsB5lEMO5

bu değer sizin whatsapp kullanıcı adınız ve mesaj göndermiş olduğunuz whatsapp kullanıcısı ve unique(benzersiz bir id) karıştırılarak şifrelenmiş halidir.

Örneğin benim telefonum 0537 000 00 01
mesaj gönderdiğim kişi: 0537 000 00 02

95370000001@s.whatsapp.net|95370000002@s.whatsapp. net|unique_id ile karma yapıp base64 tarzında şifrelemeler ile whatsapp sunucusuna kayıt ediliyor.

Ben bu bilgilere ulaştıktan sonra bir kaç araştırmaya girdim ve yukarda belirtmiş olduğum kodun kırılabiliyor olduğuna ve telefon numarası bilinen herkesin göndermiş olduğu resim,video,ses gibi öğelerin başkaları tarafından dinlenebileceği ortaya çıkıyor.. bu aralar whatsapp web'ten mesajlaşmamak en doğrusu :)

bilgilendirmek istedim.

Coder çok tehlikelisin kardeşim eski gönderilerinide okumuştum ileride büyük işlere imza atarsın inşallah.

Peki bir program yardımıyla mı bulabiliyoruz. Benim buna ihtiyacım var şuanda.

kralsın :D pmleşelim :D

webi hiç yayınlamıycaklardı. Tebrikler, ince iş :)

Vay bubayın kemüğüneeee !

crytolocker virüsünü çözebilirsen bana bi pm at bi zahmet :D

ne fb ne twitter ne whatsapp vs hiç bir sosyal iletişim aracı kullanmıyorum kafam rahat :D

Bravo kardeşim:)

bugün doviz.com u da hacklemişler. gram altın sayfasına tıkladığında "oynama lan şununla sistemi bozacaksın" yazıyodu :D

Helal vallahi çok başarılısın :)

Sadece ses dosyaları mı ?
Yazışmalar mümkün mü?
Sadece web sürümümden yollanan dosyalar mı?
Sadece 1 numarayı bilmek yetmezmi?

Hacı şunu nasıl yapıyoz öğret acil lazım :D

Adam fikir yürütmüş ama es geçtiği bir nokta var. Telefonun mac adresi bu bilgiyi qr koddan alıp yüklüyor ve base64 kullanmıyor.

Yani kırabilcek tek kişi sistemi yazan kişidir. Boşuna heveslenmeyin.

Bildiğim kadarı ile rootlu android telefonlarda mac adresi değiştirebiliyorsun, whatsapp'ına sızmak istediğimiz kişinin mac adresini bir android telefona yazsak ve onun numarası ile giriş yapsak, whatsapp'ına girebiliyormuşuz. Böyle bir açıkta var, geçenlerde bir yerde okumuştum...

La 25 yaşına geldim kırek atmayı yeni öğrendim heriflere bak

Dikkatlisin kardeşim, teşekkürler bilgilendirme için.

telefondan yapılan yazışmaların bi riski varmı onu söyleyin fotolar filan? :D

gece gönderilen fotoğraflar daha bir kolay bulunuyormuş diyolla

bir sistemin açığı nasıl bulunur :) aklım almıyor

gece gönderilen fotoğraflar daha bir kolay bulunuyormuş diyolla

:hehe: :hehe:

http://pbs.twimg.com/media/BSAhyQvCEAE5_LA.jpg:large

telefondan yapılan yazışmaların bi riski varmı onu söyleyin fotolar filan? :D

hahahahahhahahha :D ofiste kahkaha attım :D

söyle özledim böyle özledim bak buda özlediğimin kanıtııı

Beyler onu bunu bırakında söleyin telefondan gönderilen ve alınan fotolarla ilgili bi risk var mı :D

Sadece ses dosyaları mı ?
Yazışmalar mümkün mü?
Sadece web sürümümden yollanan dosyalar mı?
Sadece 1 numarayı bilmek yetmezmi?
Ses, resim, video ve sadece web sürümünden yollananlar

Adam fikir yürütmüş ama es geçtiği bir nokta var. Telefonun mac adresi bu bilgiyi qr koddan alıp yüklüyor ve base64 kullanmıyor.

Yani kırabilcek tek kişi sistemi yazan kişidir. Boşuna heveslenmeyin.
Selamlar abi, base64ü örnek olsun diye söylemiştim ancak;
Android bir telefondan mac gibi bir unique(dünyada benzersiz bir id) alabilmek için cihazın root olması gerekmekte. Web sürümünde ise zaten web scriptleri ile mac adresi almak mümkün değil olsaydı günümüzde parola sistemi kalmazdı. Ek olarak brute-force yöntemi ile belki 1 ay belki 1 yıl belki de 10 yıl sonra bu kod kırılır ama kırılır. algoritma açığa çıktıktan sonra bu zer0day açığı ile ortalık karışır ve exploiti için onbinlerce dolar istenir :)

Geçen seferde böyle bir durum vardı şimdi özetle, whatsapp konuşmaları kırıldı isteyen ulaşır yada böyle bir seçenek teoride olabilir hangisi?

bu Viber bana göre Whatsappdan daha iyi ama gönderilen fotoları bi süre sonra siliyor. onu beğenmiyorum. Yoksa sesli arama, pc den bağlanma gibi bi sürü özellik var.

Coder, normal bir kullanıcı olarak biz bir numara üzerinde bunu test edebilir miyiz ?

Coder efsanesin dostum daha evvelki yazılarınıda okumuş biri olarak söylüyorrum tabi bunu ben daha oyuna crack yapamazken senin maşallahın var :D

Mobil versyonu da web sunucusunda tutmuyor mu? Bir yerden alması lazım sonuçta datayı. End-to-end encryption hala mevcut değil mi? Tehlike neresinde kafam basmadı.

La 25 yaşına geldim kırek atmayı yeni öğrendim heriflere bak

bende o kadarda yok mnskm whastp a bile vetşap diyom :D

umurumun köşesinde olmaz valla...

gönderdiğim en baba mesaj, "çok trafik var. beni bekleme, sen yemek ye istersen" tandanslı şeyler.

Ses, resim, video ve sadece web sürümünden yollananlar

Selamlar abi, base64ü örnek olsun diye söylemiştim ancak;
Android bir telefondan mac gibi bir unique(dünyada benzersiz bir id) alabilmek için cihazın root olması gerekmekte. Web sürümünde ise zaten web scriptleri ile mac adresi almak mümkün değil olsaydı günümüzde parola sistemi kalmazdı. Ek olarak brute-force yöntemi ile belki 1 ay belki 1 yıl belki de 10 yıl sonra bu kod kırılır ama kırılır. algoritma açığa çıktıktan sonra bu zer0day açığı ile ortalık karışır ve exploiti için onbinlerce dolar istenir :)

Şu şekilde alıyor. Program mac adresini bir şifreleme yöntemi ile QR kodun içine gömüyor.

Webe giriş yapmak için QR kodu okuttuğunda bu şifrelenmiş mac adresi web sunucusuna gidip o mac ile iletişim kurulan whatsapp dökümanlarına web bölümünden ulaşım sağlanması ve cevap verilmesi sağlanıyor.

Bir çok sohbet probramı QR sız web hizmeti sunarken whatsapp daha güzenli olması içn ve şahıslardan başkası ulaşamasın diye QR ile mac filtreleme kullanıyor.

Mantık bu şekilde. IPhone lar hiç bir şekilde karşı tarafa mac göndermediği için yeterli izin olmadığı için iphone harici tüm cihazlarda web applet kullanılıyor.

Şu şekilde alıyor. Program mac adresini bir şifreleme yöntemi ile QR kodun içine gömüyor.

Webe giriş yapmak için QR kodu okuttuğunda bu şifrelenmiş mac adresi web sunucusuna gidip o mac ile iletişim kurulan whatsapp dökümanlarına web bölümünden ulaşım sağlanması ve cevap verilmesi sağlanıyor.

Bir çok sohbet probramı QR sız web hizmeti sunarken whatsapp daha güzenli olması içn ve şahıslardan başkası ulaşamasın diye QR ile mac filtreleme kullanıyor.

Mantık bu şekilde. IPhone lar hiç bir şekilde karşı tarafa mac göndermediği için yeterli izin olmadığı için iphone harici tüm cihazlarda web applet kullanılıyor.

Başkanım mac spoof etmek kadar kolay bir şey yok. fake bir uygulama ile mac adresi alıp whatsappta kullanılabilir o zaman(ki bu daha riskli). IPhone olayını biliyorum "ChatStorage.sqlite’" dosyasını ele geçirdiğim zaman şifreleme olmadan direk mesajlara ulaşabiliyorum. Androidde ise durum farklı msgstore.db.crypt8 dosyasını ele geçirsem bile şifreli bu şifrelemeyi kırmak için "wa.db" dosyasınıda elegeçirmem gerekiyor bu wa.db dosyasını okumam için ise kesinlikle "root" yetkisi gerekiyor. Sonuç olarak ben hala o kodun kırılmaya uygun olduğunu düşünüyorum bakalım bu gece whatsapp web'i biraz daha kurcalayacağım..

Başkanım mac spoof etmek kadar kolay bir şey yok. fake bir uygulama ile mac adresi alıp whatsappta kullanılabilir o zaman(ki bu daha riskli). IPhone olayını biliyorum "ChatStorage.sqlite’" dosyasını ele geçirdiğim zaman şifreleme olmadan direk mesajlara ulaşabiliyorum. Androidde ise durum farklı msgstore.db.crypt8 dosyasını ele geçirsem bile şifreli bu şifrelemeyi kırmak için "wa.db" dosyasınıda elegeçirmem gerekiyor bu wa.db dosyasını okumam için ise kesinlikle "root" yetkisi gerekiyor. Sonuç olarak ben hala o kodun kırılmaya uygun olduğunu düşünüyorum bakalım bu gece whatsapp web'i biraz daha kurcalayacağım..

bu mesajı okuduktan sonra

http://www.syildiz.com/wp-content/uploads/2011/12/mavi-ekran.jpg

Paylaşım için çok teşekkürler bundan sonra daha dikkatli olayım :)

eyvah yandık.

Bu olay benim aklıma gelmişti. :D Gözlere siyah bant çekeriz artık. :hehe:

ya allah askin o an sizin whatsappinizda web olacak, o hashi alacak bulacak da kiracak da.. da da da.
kisaca kim ugrascak, bunu yapabilecek kalitede bir insan dandirik whatsapp ile mi mi ugrasir, sigortali ise girer ahah:)

Eyvah herkesin sirket bilgileri gitti amk...

ya allah askin o an sizin whatsappinizda web olacak, o hashi alacak bulacak da kiracak da.. da da da.
kisaca kim ugrascak, bunu yapabilecek kalitede bir insan dandirik whatsapp ile mi mi ugrasir, sigortali ise girer ahah:)

Yahu gözünü seveyim Bilgi işlem adamısın abi bu olayı en çok senin savunman lazım :D

şuan onbinlerin içi içini yiyo bundan eminim :D adım adım açıklasa da bizde yapsak modundayız :D