20/08/2016

اختراق حسابات واتساب وأي حسابات خاصة بتطبيقات تعتمد على كود الاستجابة السريعة فى توثيق مستخدميها

المؤلف - Lefafta التاريخ - 15:05 Hack

الحمد لله وحده نحمده ونشكره ونستعين به ونستغفره وأشهد أن محمدا عبده ورسوله صلى الله عليه وسلم وعلى آله وصحبه أجمعين

QRLJacking — How to bypass QR Code Based Login System

QRLJacking or Quick Response Code Login Jacking أوهجوم اصطياد كود الاستجابة السريعة هو هجوم بسيط موجه للضحية ولكن غير سيئة تؤثر على جميع التطبيقات التي لها "صلاحية الدخول مع كود الاستجابة السريعة Quick Response Code Login" وهي ميزة تستعمل كوسيلة آمنة وسريعة للدخول إلى الحسابات هذا في ما يخص كود الاستجابة السريعة Quick Response Code Login

QRLQuick Response Code Login

أما في ما يخص QRLJacking فهي أداه تهدف لخطف QRL الخاص بالضحية من أجل الولوج إلي حساباتهم كالواتساب وغيرها .

من التعريف نفهم ما هي متطلبات لتحقيق هجوم QRLJacking or Quick Response Code Login Jacking يتكون هجوم QRLJacking من جهتين:

1- المهاجم : هناك حاجة إلى برنامج أوأداة نصي من جانب الخادم لخدمة وصياغة الشكل النهائي للضحية.

2- الضحية: استنساخ كود QRL وسحب البيانات .

طريقة استعمال الأداة

في جانب المهاجم :

بعد تحميلك للأداه QRLJacking or Quick Response Code Login Jacking حمل ملف "Handler.php" على الخادم الخاص بك، يتم استخدام هذا الملف لتحويل سلسلة كود base64 إلي ملف .JPG الآن لدينا صورة QR الذي تم إنشاؤه اسمها "tmp.jpg" موجود في المجلد نفسه.

الآن قم برفع"phishing.html" الملف لصفحة التصيد شفرة المصدر.

في جانب الضحية :

1- افتح متصفح فايرفوكس
2- اكتب "about:config" في منطقة الرابط. انقر فوق الزر "i'll be careful, i promise" للتأكيد
3- اعمل بحث علي "security.csp.enable" وغير القيمه إلي "false"
4- حمل ونصب الإضافة Greasemonkey وكن علي دراية تفعيل الأداه "WhatsAppQRJackingModule.js" ومرفوعة في الجهاز ضحية

الأن باقي الشرح تتابعه في هذا الفيديو

لتحميل الأدوات Download

تم ذكر هجوم QRLJacking فى التقرير اليومي للبنية التحتية مفتوحة المصدر لوزارة الأمن الوطنى للولايات المتحدة! (بند رقم ٢٨) التقرير هنا: https://goo.gl/s69bby