الخميس، 25 يوليو، 2013

اسرار واتسأب


واتسآب يسهل اختراقه… إليك الطريقة

يعتبر برنامج واتسآب (Whatsapp) من أشهر البرامج التي تمكنك من إرسال و استقبال الرسائل مجاناً على هاتفك المحمول دون الحاجة إلّا إلى اتصال بالإنترنت و رقم هاتفك, و يمتلك العديد من المزايا مثل المحادثات الجماعية و إرسال الصور…

لكن سمعة هذا البرنامج من حيث الخصوصية سيئة جداً, حيث أنه و حتى شهر آب/أغسطس ٢٠١٢ لم يمتلك هذا البرنامج أي ميزة تشفير (رغم الحاجة الشديدة لها من قبل مستخدمي البرنامج) و بالتالي كانت كل مراسلاتك و جهات اتصالك عرضة للتجسس من قبل كل من يستطيع مراقبة اتصالك بالإنترنت.

ملاحظة: الهدف من هذه المقالة استعراض مدى سهولة اختراق حسابك في WhatsApp من قِبل الجهات المُشغّلة للانترنت في بلدك أو من قِبل أي شخص آخر يهدف إلى التجسس على رسائلك.
اليوم, يعتمد البرنامج في ارسال و استقبال معلوماتك على تشفير https اللذي يعتبر آمناً في الوقت الحاضر و تعتمد عليه جميع الخدمات الأخرى المشابهة ومع ذلك لا يُعتبر تبني هذا التشفير كافياً بعد، فهو يقوم بإرسال رقم هاتفك بصيغة نص غير مشفر و بالتالي يمكن لكل من يراقب اتصالك أن يعرف رقم هاتفك.

قام بعض الباحثين بمحاولة فك شيفرة هذا البرنامج من خلال البرمجة العكسية, و النتائج كانت فظيعة!

يعمل الواتسآب على اصدار معدل من بروتوكول XMPP المستخدم من قبل محادثات فيسبوك و غوغل و العديد من الشركات الأخرى، و يعتمد كالعديد من البرامج على اسم مستخدم و كلمة مرور للتحديد و التأكد من هوية المستخدم. اسم المستخدم في الواتسآب هو عبارة عن رقم هاتفه، أما كلمة المرور فيتم إنشاؤها تلقائياً عند تسجيل اشتراكك بالبرنامج, و يتم إرسال اسم المستخدم في كل مرة تستعمل البرنامج بصيغة نص غير مشفر, مما يعني أن كل من يستطيع مراقبة اتصالك سيتمكن من معرفته.

تبين من خلال البرمجة العكسية لبرنامج الواتسأب أن كلمة سر المستخدم هي عبارة عن شيفرة md5 يتم إنشاؤها من رقم الـ IMEI الخاص بالهاتف الذي تستخدم منه البرنامج, رقم الـ IMEI هذا هو نفسه الرقم المميز لكل هاتف والذي تستعمله شركات الاتصالات للتعرف على هاتف ما و تتبع هاتف مسروق مثلاً. و يكون هذا الرقم مكتوباً على الجهاز تحت البطارية غالباً.
في الآيفون الأمر مختلف قليلاً, حيث أن كلمة السر هي عبارة عن شيفرة md5 يتم إنشاؤها من عنوان الوايفاي بالجهاز wifi mac address. و الذي يمكن لأي شخص معرفته إذا وجد معك على نفس شبكة الوايرلس أو تمكن من فتح الجهاز.

و لقد قام مبرمج يدعى venomous0x بعمل واجهة برمجية api بلغتي الـ php و الـ python تمكنك من التحكم الكامل بحساب الواتسآب, و كل ما تحتاج معرفته هو رقم الهاتف المستهدف و رقم IMEI الخاص بهاتف الضحية (أو عنوان الوايرلس إذا كان نوع هاتفه آيفون.)

هل تريد التأكد بنفسك؟ ابحث عن رقم IMEI الخاص بهاتفك (ستجده تحت البطارية أو في الإعدادات في صفحة عن الهاتف/الحالة) , قم بقلب الرقم (مثلاً إذا كان 1234 يصبح 4321) ثم قم بالحصول على شيفرة md5 الخاصة بك من هذا الموقع… مبروك! لقد حصلت على كلمة مرور حسابك!
الآن للتأكد افتح العنوان التالي (من موقع واتسآب!) و استبدل العلامات الثلاثة %% برمز البلد و رقم الهاتف دون أصفار و كلمة المرور التي حصلت عليها للتو بالترتيب:
يمكنك تنزيل الواجهة البرمجية التي أصدرها venomous0x و المسماة WhatsAPI من موقع github من هنا (لقد تم سحبها مؤقتاً بسبب بعض الأمور القانونية لكن الإصدار القديم موجود هنا) و الإطلاع على طريقة إستعمالها في موقع xda-developers هنا.

في النهاية، أنصح جميع القراء بالتوقف عن استخدام هذا البرنامج السيء بكل معنى الكلمة و إلغاء اشتراكهم حتى ولو كان قديماً لأنه عرضة للإختراق، واستخدام أي من برامج المحادثة الأخرى  Google Talk أو ChatOn أو حتى Viber.

0 التعليقات:

إرسال تعليق

لا تنسى ان تشارك samir soltani بتعليقك
او نشر الموظوع جزاك الله خيرا