История с утечкой миллионов номеров Apple UDID ещё раз привлекла внимание специалистов к тому, как разные мобильные приложения обращаются с подобной информацией. Компания Apple не так давно запретила приложениям отправлять UDID пользователя на удалённый сервер, в целях безопасности, но разработчики приложений всегда найдут способ, где совершить ошибку.

Например, вот что делает популярная программа WhatsApp, с помощью которой более 20 миллионов человек обмениваются личными сообщениями (1 миллиард сообщений в день, по данным на декабрь 2011 года). Их система работает на модифицированной версии XMPP (Extensible Messaging and Presence Protocol), что вполне нормально, но аутентификация пользователя при этом происходит довольно странным образом.

Имя пользователя — телефонный номер

Пароль — md5(strrev(‘здесь-номер-imei’))

В качестве пароля автоматически используется MD5-хэш номера IMEI с цифрами в обратном порядке, без соли. По крайней мере, в Android-версии программы происходит именно так. Вполне возможно, что то же самое под iOS, Windows Mobile и Blackberry, ходя из iOS-устройства вытянуть IMEI не так просто.

Нечего и говорить, что злоумышленник может без особого труда получить значения логина и пароля для любого пользователя, просто нажав *#06# на его телефоне.

Как вариант, можно написать приложения под Android, которое будет собирать номера IMEI пользователей и пополнять базу данных. После этого хакер сливает в открытый доступ базу номеров IMEI — и всё, сервис WhatsApp может сушить вёсла.

Получение номера IMEI на устройстве Android осуществляется с помощью такого кода:

TelephonyManager tm = (TelephonyManager)
getSystemService(Context.TELEPHONY_SERVICE);
String device_id = tm.getDeviceId();

Получение номера телефона:

TelephonyManager tMgr =
(TelephonyManager)mAppContext.getSystemService(Context.TELEPHONY_SERVICE);
mPhoneNumber = tMgr.getLine1Number();

Получение номера голосовой почты:

TelephonyManager.getCompleteVoiceMailNumber()

Более подробно интерфейсы WhatsApp проанализированы в открытом проекте WhatsAPI.



8 комментариев

  1. http://moto-master.ucoz.ru

    02.09.2014 at 09:19

    Подскажите пожалуйста какой код надо внедрить в приложение. В общем суть такова, у меня есть приложение, я его не хочу продавать в гугл плей, так как там его постоянно блокируют то за рекламу то еще за что-то надоели они мне, мое приложение не массовое, оно рассчитано на очень узкий круг пользователей, в общем я его хочу сам продавать за небольшую сумму ,суть такова что я не хочу чтоб я продал его одному, а тот его разослал бесплатно всем кому захочет, я хочу сделать так, чтоб например по последним цифрам imei, то есть не весь номер, а лишь его 4 последние цифры приложение как бы привязывалось к нему, то есть чтоб например если пользователь захочет приложение передать то оно не обнаружив совпадений с теми 4 цифрами не работало и выдавало сообщение что-то типа «вы должны купить приложение…» сразу говорю, приложение не онлайновое, это своего рода обучающая программа по ремонту мотоциклов, поэтому никуда этот imei не должен передаваться, а лишь привязываться к самому приложению ,то есть мне его знать не требуется

  2. 31.10.2014 at 14:48

    Добрый день познакомился с девушкой дошло дело до свадьбы и тут она на чала себя странно весть ! Нашел человека звать его Илья и он мне помог взломать ее вацап и восстановил ее переписку за пол года !Оказалось что она не та за кого себя выдает а просто шлю,,,, Кому нужно вот его почта dekoff-i@yandex.ru
    Номер телефона +79604398099

  3. 15.02.2015 at 05:22

    Здравствуйте! Как узнать имеил vatsap не держа его телефон в руках? Нет к нему доступа? Помогите пожалуйста! И что потом делать? Как правильно всё сделать? Умоляю вас помогите!!!

  4. 17.04.2015 at 21:36

    Добрый день познакомился с девушкой дошло дело до свадьбы и тут она на чала себя странно весть ! Нашел человека звать его Илья и он мне помог взломать ее вацап и восстановил ее переписку за пол года !Оказалось что она не та за кого себя выдает а просто шлю,,,, Кому нужно вот его почта dekoff-i@yandex.ru
    Номер телефона +79604398099

  5. erschova

    19.10.2015 at 12:49

    я вот обратилась к человеку у меня была такая ситуация в жизни и мне нужно было проконтролировать своего мужа, мне подруга
    посоветовала парня, он подключил прослушку на телефоне мужа и я смогла звонки слушать и смс читать и на whatsappe viber, он всё через интернет делает я ему
    дала номер и через час уже всё работало. вот его почта напишите может поможет igor.shifrator33@yandex.ru

  6. ziminazi

    04.02.2017 at 14:49

    Помогу получить переписку whats app/viber
    Оплата после предоставления доказательств,в виде скринов переписки,контактов.
    Работаю 24 час.
    Оплата на яндекс,киви,карта банка.
    Обращайтесь на адрес почты: zimina2008@yandex.ru
    Стоимость зависит от сложности номера и оператора.
    Жду ваши заказы.

  7. UnknownNone2017

    12.04.2017 at 11:32

    Услуги Профессиональных Хакеров России.
    Работаем 24 часа в стуки. Контактный адрес. Professional-Xakep2017@yandex.ru

Оставить мнение