Whatsapp te hacken met gespoofte bevestiging sms

vrijdag 20 mei 2011 21:34

Acties:

0Henk 'm!

Zojuist op GS:

Gisteren werd duidelijk dat het onder de Ping-generatie extreem populaire tooltje WhatsApp een lek bevat waardoor de nummers en chatberichten van gebruikers in verkeerde handen kunnen vallen. Vandaag presenteert GeenStijl nóg een manier om gericht de berichten van je ex / schoonmoeder / baas uit te kunnen checken met als enige benodigdheden een prepaid telefoon zonder beltegoed en een wifiverbinding. Dit alles is mogelijk omdat WhatsApp gebruik maakt van een brakke verificatietechniek, waar onze tipgever het bedrijf maarliefst drie keer op gewezen heeft, alle keren zonder effect. Dus dan maar zo: Als je WhatsApp downloadt wordt er om een telefoonnummer gevraagd om aan het account te koppelen. Om te checken of het opgegeven nummer echt van jou is wordt er vanaf jouw toestel een sms naar jezelf verstuurd. Komt de sms aan dan is de registratie compleet. Maarrr. Wat nou als je beltegoed op is of de T-Mobile netwerkpaal een storing heeft? Dan wordt het verificatiebericht dus niet verstuurd. Onze tipgever ontdekte dat het ding vervolgens wel gewoon in het Postvak UIT van zijn smartphone zat. Hij kopieerde het naar een online sms dienst en verstuurde de sms zo alsnog. Maar hé, bij die online dingen kun je toch ook gewoon een willekeurige afzender kiezen? Dat klopt. En zo is het dus mogelijk om WhatsApp te registreren op het nummer van een Valerio, een Jordy van Loon, een Koen en Sandra. Gewoon die superbetrouwbare verificatietechniek van WhatsApp omzeilen en uitlezen die chatberichten! In dit filmpje zien we onze ethische hacker het demonstreren met een niet bestaand telefoonnummer (netjes!), puur om aan te tonen hoe simpel het is. Conclusie: niet alleen KPN kan uw berichtjes lezen, iedereen kan dat. Privacy is zó 1992

Heb geen apparatuur om het te testen, maar ga maar eens heel snel kijken of het echt zo makkelijk gaat.

edit:
Ze claimen dus dat door het spoofen van de bevestigings sms de contactlist en chats zichtbaar zijn.

Toch vraag ik me af:
- Hoe komt de client waar je de verse installatie van whatsapp op hebt geinstalleerd aan de bevestiging? Je verstuurd de sms immers vanaf een andere server en een eventueel smsje terug zou bij het slachtoffer terecht komen.

[Voor 8% gewijzigd door HenkEisDS op 20-05-2011 21:46]

vrijdag 20 mei 2011 21:50

Acties:

0Henk 'm!

zwittrooper

Krijg inderdaad een sms van mijn eigen telefoonnummer bij het registreren. Misschien werkt deze methode inderdaad wel. Iemand die het kan testen?

Edit: Whatsapp heeft ook de rechten nodig om een sms te kunnen verzenden bij het installeren van de app

[Voor 27% gewijzigd door zwittrooper op 20-05-2011 21:52]

vrijdag 20 mei 2011 21:57

Acties:

0Henk 'm!

Trommelrem

Doet me een beetje denken aan de Diafaan spoof via de PTT PSTN SMSC een tiental jaren terug. Op deze wijze kan ik dus vanaf een andere terminal Whatsapp activeren?

[Voor 30% gewijzigd door Trommelrem op 20-05-2011 22:04]

vrijdag 20 mei 2011 22:05

Acties:

0Henk 'm!

HenkEisDS

Topicstarter

Een zien of het verwijderen van whatsapp er toe leidt dat ik weer een telefoonnummer kan invoeren.

vrijdag 20 mei 2011 22:07

Acties:

0Henk 'm!

basst85

Ik denk dat het in Android nog makkelijker is, want de ontvangen SMSjes komen in de volgende SQLlite database: /data/data/com.android.providers.telephony/databases/mmssms.db

Hier kun je makkelijk een fake SMS bericht in plaatsen, met als afzender het gewenste mobiele nummer.

Zo ongeveer:

adb.exe shell sqlite3 /data/data/com.android.providers.telephony/databases/mmssms.db "INSERT INTO sms VALUES (......);"

vrijdag 20 mei 2011 22:15

Acties:

0Henk 'm!

Marzman

They'll never get caught.

basst85 schreef op vrijdag 20 mei 2011 @ 22:07:
Ik denk dat het in Android nog makkelijker is, want de ontvangen SMSjes komen in de volgende SQLlite database: /data/data/com.android.providers.telephony/databases/mmssms.db

Hier kun je makkelijk een fake SMS bericht in plaatsen, met als afzender het gewenste mobiele nummer.

Zo ongeveer:

adb.exe shell sqlite3 /data/data/com.android.providers.telephony/databases/mmssms.db "INSERT INTO sms VALUES (......);"

De berichten komen van je eigen nummer, dus waarschijnlijk kan je ze gewoon zelf sturen

Of met iets als voipbuster, dan kan ik ook mijn mobiele nummer meesturen.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

vrijdag 20 mei 2011 22:20

Acties:

0Henk 'm!

HenkEisDS

Topicstarter

Denk niet dat dat makkelijker is dan www.andereafzender.nl te gebruiken... <- mijn site

Heb nu zelf whatsapp verwijderd en opnieuw geinstalleerd. Hij vraag nu om 'mijn' mobiele nummer. Zoek nu ff een een slachtoffer die me toestemming geeft het te testen.

[Voor 23% gewijzigd door HenkEisDS op 24-06-2011 19:43]

vrijdag 20 mei 2011 22:23

Acties:

0Henk 'm!

Lulukai

God's gift to women

basst85 schreef op vrijdag 20 mei 2011 @ 22:07:
Ik denk dat het in Android nog makkelijker is, want de ontvangen SMSjes komen in de volgende SQLlite database: /data/data/com.android.providers.telephony/databases/mmssms.db

Hier kun je makkelijk een fake SMS bericht in plaatsen, met als afzender het gewenste mobiele nummer.

Zo ongeveer:

adb.exe shell sqlite3 /data/data/com.android.providers.telephony/databases/mmssms.db "INSERT INTO sms VALUES (......);"

Werkt niet, telco's zullen niet aanvaarden dat je zelf de afzender aanpast

vrijdag 20 mei 2011 22:24

Acties:

0Henk 'm!

Marzman

They'll never get caught.

Ik denk niet dat hij de sms wil verzenden, hij wil hem in de database zetten.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

vrijdag 20 mei 2011 22:25

Acties:

0Henk 'm!

HenkEisDS

Topicstarter

Toestemming verkregen van een maatje van me. Ik ga beginnen.

Shit, ik krijg een melding 'radio is turned off'. Prepaid simkaartje zoeken dan maar, of mijn smsprovidernummer oid aanpassen zodat hij niet kan versturen.

edit: Simkaartje geregeld. Is helaas wel een spaanse, dus ik hoop dat die wel accepteerd dat ik internet gebruik. Blackberry BIS gezeik etc.

[Voor 79% gewijzigd door HenkEisDS op 20-05-2011 22:45]

vrijdag 20 mei 2011 22:27

Acties:

0Henk 'm!

basst85

Marzman schreef op vrijdag 20 mei 2011 @ 22:24:
Ik denk niet dat hij de sms wil verzenden, hij wil hem in de database zetten.

Klopt, bij de ontvangen berichten. In sms tabel staat ook (natuurlijk) het nummer van de afzender.

Kan het helaas morgen pas testen, als m'n Android telefoon terugkomt van reparatie

[Voor 13% gewijzigd door basst85 op 20-05-2011 22:29]

vrijdag 20 mei 2011 22:49

Acties:

0Henk 'm!

Lulukai

God's gift to women

HenkEisDS schreef op vrijdag 20 mei 2011 @ 22:20:
Denk niet dat dat makkelijker is dan www.andereafzender.nl te gebruiken... <- mijn site
Om niet al te spamhoerderig over te komen: ipv €1,30 te betalen bij mij, kan het via smspack.nl voor 5 ct per bericht. Via mollie.nl waarschijnlijk ook.

Heb nu zelf whatsapp verwijderd en opnieuw geinstalleerd. Hij vraag nu om 'mijn' mobiele nummer. Zoek nu ff een een slachtoffer die me toestemming geeft het te testen.

Op welk 'niveau' in de keten moet je eigenlijk zitten om zelf smsjes volledig te kunnen aanpassen? Hoe kan je er dus voor zorgen dat je sms'en met een zelfgekozen afzender ID (hetzij een fake nummer, hetzij een woord van maximum 11 karakter) mag/kan versturen? Ik kan met een oude gsm via AD-commando's wel een eigen sender iD instellen, maar die zal gebounct worden door mijn telco..

Hoe komt het dus dat diensten zoals Mollie (en jij?) dat wel 'mogen' en ik niet?

[Voor 4% gewijzigd door Lulukai op 20-05-2011 22:54]

vrijdag 20 mei 2011 22:55

Acties:

0Henk 'm!

HenkEisDS

Topicstarter

Vraag me af wat er allemaal tijdelijk op de server wordt opgeslagen. Contacten denk ik niet, maar vrees van wel. Groepsberichten sowieso, anders heeft nooit de hele groep het bericht als bijvoorbeeld je telefoon even uitstaat. Groepsfoto's dus ook gok ik.

@ruyckske: Je moet toegang hebben tot een sms-gateway en dus je eigen (shared) shortcode hebben.

-----------------
Simkaartje geregeld, is Spaans, maar zou niet hoeven uit te maken. Hij komt nu in ieder geval een scherm verder en probeert daadwerkelijk te versturen.

Hij probeert nu een smsbericht te versturen. Tekst is:
SMS Verification 10:09 (teller minuut:sec)
Sending SMS to +31SLACHTOFFER

Sending an SMS to your phone for verification. Please make sure your account has enough SMS credits.

If you need to edit the number bla bla.
-------------------------
Lijkt er dus op dat hij een berichtje verstuurd naar het nummer van het slachtoffer. Wat opzich prima verificatie is, tenzij je het onderschept.

edit: Als ik de timeout laat verlopen krijg ik de optie om een telefoonnummer te bellen die mij een code zou kunnen verstrekken. Dit werkt helaas niet.
Your code is, not found in the system. Your code is, not found in the system. Your code is, not found in the system.

Eens proberen of hij nu onthoud dat ik probeerde te authenticeren en dat ik het nu met mijn andere simkaart nog een keer kan proberen.

[Voor 26% gewijzigd door HenkEisDS op 20-05-2011 23:08]

vrijdag 20 mei 2011 23:38

Acties:

0Henk 'm!

HenkEisDS

Topicstarter

Mmm...iemand op GS wijst me er op dat ik een fout heb gemaakt. En hij kan inderdaad zomaar eens gelijk hebben. Hoewel ik geen SMS in mijn outbox heb gezien, klinkt zijn verhaal wel plausibel.

Ik heb net eens getest. Jij vergeet één stap die in het filmpje wel te zien is. Je moet een SMSje sturen naar dat prepaid simkaartje van je met als afzender het telefoonnummer dat je wilt overnemen en als berichttekst het smsje dat WhatsApp probeert te versturen... (Zoals in de video) Dat "Sending SMS verification" met tellertje is hoelang het nog mag duren voor het smsje aankomt bij zichzelf, maar als jij niet in je outbox gaat kijken wat er in godsnaam in het smsje staat en dat naar die simkaart verstuurt, met spoofed afzender: duh, dan werkt het niet. Het werkte namelijk angstaanjagend goed en ik kreeg inderdaad toegang. Sick...
Ik hoop dat WhatsApp er iets aan gaat doen.

vrijdag 20 mei 2011 23:51

Acties:

0Henk 'm!

WhatsappHack

Hallo,

Het is inderdaad waar dat dit mogelijk is. Ik kan het weten

Het is *NIET* zo dat je de contactenlijst van iemand kan bekijken. In tegendeel. Je kan helemaal niets zien wat er vooraf is gebeurd.

Uitzonderingen is:
- Als de telefoon waar de whatsapp account op draait lange tijd uitstaat, of het nummer niet meer bestaat en thans niet meer gebruik wordt (vervangen bijvoorbeeld door een nieuwe whatsapp account) dan krijg je *alle* berichten binnen die verstuurd werden vanaf het moment dat de WhatsApp account die je overneemt niet meer bereikbaar was.
Je kan dan onder anderen zien:
- Complete berichttekst (Je krijgt *alle* berichten binnen die de persoon had moeten ontvangen)
- Het mobiele nummer van de afzender. (Naamloos, maar je hebt wel het nummer te pakken en weet waar over gepraat is. Als je dit doet bij iemand die je kent is het makkelijk te achterhalen van wie het nummer was, of met diensten als gebeld.nl)
- Je kan bij groupchats waar op je bent aangemeld alle berichten zien.

Je kan ook op je dooie gemakje terug gaan praten tegen die mensen die naar jou berichten versturen of verstuurd hebben. Gezien in hun contacten lijst nog wél staat wie het is, denken ze dat jij als hacker zijnde in feite de persoon bent die ze denken te bereiken op dat nummer...

Ik kan jullie zeggen, toen ik dit gister voor het eerst probeerde met een nummer dat niet meer bestond bleek dat het vroeger wel heeft bestaan. Het resultaat was ruim 500 WhatsApp berichten. Meteen verwijderd, ik ben er niet op uit om de privé shit van andere mensen te lezen. Maar ik schrok er gewoon van hoe extreem simpel het is om al deze informatie te bemachtigen...

@HenkEisjedies:
Als ik zo je uitleg lees mis je inderdaad die cruciale stap...
Je dient dus een SMS naar je lege prepaid kaartje te sturen. De afzender dient de account te zijn die je wilt overnemen. De content van het bericht moet een exacte match zijn van het bericht dat WhatsApp probeert te versturen.

Ik zelf gebruikte een Nokia N97 omdat het makkelijk is om daar via Nokia Messaging Center berichten te kopieren die in de outbox blijven staan vanwege een beltegoed probleem... Hehe.
Dat in combinatie met een mooie snelle SMS gateway en je hebt je hack!

Overigens kan ik jullie mededelen dat WhatsApp er mee bezig is, ze hebben het bericht op GeenStijl duidelijk ook meegekregen.

Nog een saillant detail:
Op het moment dat iemand je account overneemt wordt de toegang op je eigen telefoon geblokkeerd. WhatsApp geeft dan letterlijk een melding dat je heel WhatsApp moet verwijderen en opnieuw moet installeren wil je weer toegang krijgen... Super secure!

[Voor 5% gewijzigd door WhatsappHack op 20-05-2011 23:52]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 00:26

Acties:

0Henk 'm!

SmiGueL

Bedankt voor de uitleg

Dus ten eerste zijn er dus geen 'oude' berichten terug te lezen door iemand die jou nummer spoofed.
En ten tweede mocht iemand het toch doen, dan krijg je zelf redelijk snel (als je elke dag WhatsApp'ed)
de melding (dat je nummer gespoofed is), en kun je hem weer 'terugkapen' door WhatsApp opnieuw te installeren..

(Ok, het kan een kat-en-muis spel blijven, maar je weet iig dat iemand achter je berichten aan is, waardoor je vanaf dat moment wss geen privacy-gevoelige info meer door gaat sturen)

Delidded 4770K 4.7GHz @ H220 || Gigabyte Z87X-UD4H || 16GB @ 2400MHz || Gigabyte GTX 760 || 2x128GB Samsung 830 @ RAID-0 & WD 3 TB || Iiyama XB2483HSU-B1 || Synology DS916+ 3x6TB + 120GB SSD Cache || Synology DS213+ 6TB backup

zaterdag 21 mei 2011 00:40

Acties:

0Henk 'm!

WhatsappHack

Dus ten eerste zijn er dus geen 'oude' berichten terug te lezen door iemand die jou nummer spoofed.
En ten tweede mocht iemand het toch doen, dan krijg je zelf redelijk snel (als je elke dag WhatsApp'ed)
de melding (dat je nummer gespoofed is), en kun je hem weer 'terugkapen' door WhatsApp opnieuw te installeren..

Nee, berichten die al ontvangen waren door de originele eigenaar van het account zijn niet terug te lezen. Alleen berichten die nog niet afgeleverd waren worden per direct op je gejatte account bezorgd.
(Als iemand dus 5 maanden die account niet gebruikt, maar mensen er wel naar toe WhatsAppen dan krijg je dus netjes alle berichten van dat timeframe binnen...)

Precies. In eerste instantie valt het niet echt op, totdat je een bericht probeert te versturen. Dan gaat hij per direct foutmeldingen weergeven... Of hij dit bij auto-sync ook al doet na enkele minuten weet ik niet, ik was te ongeduldig om dat af te wachten

Eerlijk gezegd denk ik van niet, WhatsApp bleef idle. Pas toen ik een chat bericht probeerde te versturen ging het mis en begon het te zeuren dat ik geen toegang meer had. Dit heb ik overigens netjes getest met mijn eigen accounts

Heb er andere mensen geen last mee bezorgd.

Het blijft dan inderdaad een kat en muis spel, maar je moet je dan afvragen hoeveel geld iemand overheeft om je te blijven zieken... Okee, met een tientje aan sms credits kom je een behoorlijk eind en kan je tientallen keren een account overnemen. Maar het kost ook tijd... Dan moet je wel behoorlijk triest zijn. Maar ja, uitgaande van het feit dat er vast wel zulke idioten rondlopen op dit prachtige aardbolletje: Inderdaad, het kan een spel worden.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 00:53

Acties:

0Henk 'm!

SmiGueL

Jup idd de nog niet bezorgde berichten zullen dan ontvangen worden door de spoofer,
maar ik ging er dus maar even vanuit dat iemand die WhatsApp heeft ook zo goed als altijd internet op z'n phone heeft, en dus in principe geen berichten heeft die nog niet bezorgd zijn

Welk scenario ik nog wel even wou testen (maar niet gedaan omdat ik hier maar 1 telefoon heb en m'n oude berichten niet kwijt wil (ik weet dat ze op de SD kaart staan in de map databases, en die kan backuppen, maar toch....)

Zet je telefoon met zeg nummer: 0613371337 op flight mode, en installeer WhatsApp met 0612345678
hij stuurt nu een SMS, die in de outbox terecht komt (dit is gewoon uit te lezen, dit heb ik iig al getest

)
stuur nu met een andere telefoon van jou dat bericht naar je eigen nummer 0613371337.
Whatsapp krijgt nu het bericht binnen met de verificatiecode, EN weet voor welk nummer hij WhatsApp moet gebruiken (die heb je in het programma zelf aangegeven)

Zou dit werken? scheelt weer een vage betaalde FAKE-SMS service.nl website XD
(ik snap dat als hij checked of de 06 van de verstuurder van de SMS gelijk is aan het ingevoerde 06 dat het niet werkt, maar waarom zou hij dat checken als de ge SMS'te verificatiecode klopt?

)

zaterdag 21 mei 2011 00:57

Acties:

0Henk 'm!

WhatsappHack

Dat is eigenlijk een hele goede vraag. Voor zover ik weet controleert het systeem wél de afzender. Daar is overna gedacht. Het enige waar ze niet over hebben nagedacht is dat afzenders te spoofen zijn.
Of wel, maar ze dachten: nummer afzender + juiste code == win.

Maar, voor het geval ze écht zo idioot zijn: ik ga het nu even proberen...

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 00:59

Acties:

0Henk 'm!

SmiGueL

Nice, ben benieuwd

In mijn voorbeeld kan de sms dus gewoon worden verstuurd met mijn gewone sim kaart,
en niet met een lege pre-paid kaart of iets anders lastigs.
Als er toch niet gekeken word wie de sms verstuurd, kan je je normale sim kaart dus gewoon laten zitten

Ik heb nog even gekeken naar wat basst85 zei:
basst85 in "Whatsapp te hacken met gespoofte bevesti..."
Maar met ES File Explorer zie ik alleen een map data die leeg is..
Waarschijnlijk werkt dit alleen vanaf de pc (met adb.exe) maar de eigenschappen geven iig aan dat de map leeg is (0 bytes)

[Voor 126% gewijzigd door SmiGueL op 21-05-2011 01:07]

zaterdag 21 mei 2011 01:02

Acties:

0Henk 'm!

Jumpman

Hmmm, dit staat morgen op www.nu.nl. Er zijn echt gigantisch veel gebruikers. Dan heeft de 'journalistiek' weer wat te doen.

Nintendo Network ID: Oo_Morris_oO | PSN: Oo_Morris_oO.

zaterdag 21 mei 2011 01:11

Acties:

0Henk 'm!

WhatsappHack

Als er toch niet gekeken word wie de sms verstuurd, kan je je normale sim kaart dus gewoon laten zitten

Met als nadeel dat je telefoon een sms verstuurd aan je slachtoffer en je slachtoffer dus weet wie je bent

Daar zou ik dan over nadenken.

Ik heb het even getest:
Thank god. Zo achterlijk zijn ze niet. Bericht vanaf een afwijkend telefoonnummer werd door WhatsApp genegeerd.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 01:17

Acties:

0Henk 'm!

SmiGueL

Nee, die krijgt hij niet te lezen want de telefoon stond in flight mode

Dus eigenlijk heeft het hele 'lege pre-pay simkaart' gedoe geen zin want het nummer waarmee het gestuurd wordt maakt toch niet uit..

Maar opzich wel goed dat dit laatste niet werkt, anders kan iedereen het in 2 minuten gratis spoofen, waardoor het wel erg simpel wordt

[Voor 72% gewijzigd door SmiGueL op 21-05-2011 01:20]

zaterdag 21 mei 2011 01:26

Acties:

0Henk 'm!

WhatsappHack

Nee, die krijgt hij niet te lezen want de telefoon stond in flight mode
Dus eigenlijk heeft het hele 'lege pre-pay simkaart' gedoe geen zin want het nummer waarmee het gestuurd wordt maakt toch niet uit..

Hoe wil jij dan in godsnaam je spoofed verificatie berichtje binnen krijgen als je telefoon in flight modus zit?

Zodra je online gaat om die binnen te halen verstuurt WhatsApp vriendelijk alsnog het gefaalde berichtje.
Tenzij je die verwijderd, wellicht... Goed, in dat geval is een leeg prepaid simkaartje niet nodig. Maar als ik m'n toestel in flight modus zet gaat WhatsApp per direct bitchen dat er "No network coverage, ABORT" is.

Het gaat er juist om dat het sms berichtje *NIET* verstuurd wordt zodat je hem kan intercepten, zelf versturen naar je eigen nummer in plaats van naar de echte geadresseerde en dan de afzender spoofen naar het nummer dat je wilt hacken

Mooie bijkomstigheid is dat de persoon die je aanvalt ook niets merkt.

Zonder dat het verificatie SMSje aankomt gaat WhatsApp niet activeren.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 01:28

Acties:

0Henk 'm!

SmiGueL

Het idee was natuurlijk ook:

Zet je telefoon in flightmode
Open Whatsapp en laat bericht sturen (dit heb ik niet kunnen testen, omdat ik maar 1 phone heb die ik niet wil vern*ken), daarom heb ik mezelf een SMS gestuurd als test.
Open je outbox, en kopieer de sms
Verwijder sms (je hebt hem toch geopend, is maar 1 klik verder)
Zet flightmode uit
Stuur bericht vanaf andere telefoon sms-spoof-webpagina
WhatsApp ontvangt bericht en verifieerd

Of WhatsApp bij geen signaal een "No network coverage, ABORT" error geeft heb ik niet kunnen testen,
dus als dit het geval is dan wordt het iig een lastig verhaal

[Voor 24% gewijzigd door SmiGueL op 21-05-2011 01:43]

zaterdag 21 mei 2011 01:34

Acties:

0Henk 'm!

WhatsappHack

Het zou kunnen werken, op het laatste punt na. "Stuur bericht vanaf andere telefoon". Dat gaat niet werken, want het nummer moet kloppen. Als je die stap omzet naar de sms gateway met spoofed nummer dan zou het goed kunnen werken

Op het probleem na dan dat WhatsApp, tenminste: bij mij, weigert de verificatie te versturen als hij geen bereik heeft met het netwerk. Kreeg direct "ABORT"

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 02:53

Acties:

0Henk 'm!

HenkEisDS

Topicstarter

Daar liep ik dus ook tegen aan. Toen dat verholpen was zag ik geen sms in mijn postvak uit die ik kon spoofen, dit is dan misschien op te lossen door middel van een ander toestel waar dit wel zichtbaar is. Blackberry is nou niet echt een toestel dat je veel vrijheid geeft.

Maaruh...WhatappHack, met je verse account, jij hebt het toch al voor elkaar gekregen? Nu vertel je ineens dat je ook de melding kreeg dat er niets verstuurd kon worden omdat je geen netwerk had. Wat is het nou? Is het je nou gelukt of niet? Mijn hoaxsonar stond al te piepen, maar volgens mij vaar ik nu een u-boot in...

zaterdag 21 mei 2011 10:15

Acties:

0Henk 'm!

Trommelrem

ruyckske schreef op vrijdag 20 mei 2011 @ 22:23:
[...]

Werkt niet, telco's zullen niet aanvaarden dat je zelf de afzender aanpast

Via 0653141414 (SMSC van de PTT) kan dat dus wel. Sterker nog, het moet.

zaterdag 21 mei 2011 10:32

Acties:

0Henk 'm!

erik23

en met een fakesms app op android zoals?
1
2
3
4

zaterdag 21 mei 2011 10:32

Acties:

0Henk 'm!

Bender

ruyckske schreef op vrijdag 20 mei 2011 @ 22:23:
[...]

Werkt niet, telco's zullen niet aanvaarden dat je zelf de afzender aanpast

Misschien trek ik je post uit zijn verband, maar dit kan gewoon als je ze via internet verstuurd naar een telefoonnummer vie een telco.

zaterdag 21 mei 2011 10:38

Acties:

0Henk 'm!

Anoniem: 80466

Die video op GS is wel erg shaky en vaak out focus.
Moeilijk te volgen wat er nou eigenlijk precies gebeurt.

zaterdag 21 mei 2011 11:12

Acties:

0Henk 'm!

nextor

Ohw Ohw Ohwja

Als ik het goed begrijp is er dus helemaal geen serverside verificatie van het telefoonnummer?

1. Je geeft je 'eigen' telefoonnummer op in Whatsapp
2. Whatsapp stuurt sms naar 'jezelf'
3. Als Whatsapp het smsje ontvangt, stuurt het naar de Whatsapp-server dat je geverificeerd bent

Lijkt me dus niet lang te duren voordat iemand met een packetsniffer bekijkt wat er precies gestuurd wordt naar de Whatsapp-server, en alle telefoonnummers gaat kapen..

zaterdag 21 mei 2011 11:29

Acties:

0Henk 'm!

HerrKauwer

Ik heb gister een poging gedaan om dit met de Android emulator te doen. Ik heb de beta apk gedownload en geïnstalleerd. Ik krijg daarna ook de timer van 15 minuten te zien maar er komt helaas niets in de verzonden berichten in /data/data/com.android.providers.telephony/databases/mmssms.db te staan. Als ik vanuit Android zelf een sms stuur naar een willekeurig nummer werkt dit wel en komen ze in de sms tabel te staan.

zaterdag 21 mei 2011 11:50

Acties:

0Henk 'm!

bn326160

Hallo allen,
In België gebruiken we dit toch niet (gratis sms!), dus heb ik een vriend even gemeld dat ik het met zijn account ging proberen.
ik heb dit ook even op de iPhone getest, maar daarop wordt er een bericht vanaf de WhatsApp server verzonden.

Poging 1: Verbonden met netwerk en Wifi, ander nummer ingesteld: niets te vinden in sms drafts of sms.db. Ook in de documents folder van WhatsApp vind ik niets.
Poging 2: Flightmodus aangezet: Kon geen verbinzing maken met de WhatsApp server.
Poging 3: Wifi aangezet in flightmode: SMS verzonden, wacht op verificatie.

Omdat je zelf de code moet intyppen en de iPhone app 0.79c kost (om de sms te vergoeden? Maar kan ook zijn om de $99/jaar te vergoeden). Vermoed ik dat WhatsApp ze zelf verzend.

Android heb ik niet en m'n ma heeft haar BB niet meer, dus daar kan ik het ook niet testen.

Zal even uit flightmode halen en vragen of m'n vriend 2 berichten heeft gehad.

Update: Hij heeft er geen gehad.. Zal even naar een nederlandse vriendin doen en kijken of er beltegoed is afgegaan.
Als het via internet verloopt.. Zou het dan niet mogelijk zijn om de packages te onderscheppen?

Update 2: Zoals verwacht, er is geen beltegoed afgegaan.

[Voor 12% gewijzigd door bn326160 op 21-05-2011 11:57]

🤞🏻

zaterdag 21 mei 2011 11:52

Acties:

0Henk 'm!

WhatsappHack

HenkEisDS schreef op zaterdag 21 mei 2011 @ 02:53:
Daar liep ik dus ook tegen aan. Toen dat verholpen was zag ik geen sms in mijn postvak uit die ik kon spoofen, dit is dan misschien op te lossen door middel van een ander toestel waar dit wel zichtbaar is. Blackberry is nou niet echt een toestel dat je veel vrijheid geeft.

Maaruh...WhatappHack, met je verse account, jij hebt het toch al voor elkaar gekregen? Nu vertel je ineens dat je ook de melding kreeg dat er niets verstuurd kon worden omdat je geen netwerk had. Wat is het nou? Is het je nou gelukt of niet? Mijn hoaxsonar stond al te piepen, maar volgens mij vaar ik nu een u-boot in...

Is het nou echt zo moeilijk om begrijpend te lezen?

Ja het is mij gelukt, dat filmpje op dumpert is ook van mij... in kut kwaliteit, sorry, filmen en procedures verrichten tegelijk is lastig

Anyway, ja ik kreeg problemen als ik geen servive had. maar het werkte dus WEL met een leeg prepaid kaartje dat op het netwerk zit maar simpelweg de sms niet verstuurd omdat er geen beltegoed opzit... zoals ik al 3x heb uitgelegd

Snap je het nu?

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 12:10

Acties:

0Henk 'm!

WhatsappHack

Overigens, weet iemand dit? Probeert WebWereld altijd net te doen alsof zij een ontdekking hebben gedaan maar die ondertussen dus van iemand anders is..? In het artikel op WW doen zij net alsof ze het wiel hebben uitgevonden en het hele zaakje ontdekt hebben. Beetje triest naar mijn idee... Ik had het allang in praktijk gebracht en bewezen.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 12:37

Acties:

0Henk 'm!

Anoniem: 80466

WhatsappHack schreef op zaterdag 21 mei 2011 @ 12:10:
Overigens, weet iemand dit? Probeert WebWereld altijd net te doen alsof zij een ontdekking hebben gedaan maar die ondertussen dus van iemand anders is..? In het artikel op WW doen zij net alsof ze het wiel hebben uitgevonden en het hele zaakje ontdekt hebben. Beetje triest naar mijn idee... Ik had het allang in praktijk gebracht en bewezen.

Ze verwijzen daar toch naar Geenstijl en hun tipgever (jij dus).
http://webwereld.nl/nieuw...ieuw-lek-in-whatsapp.html
Op basis van het artikel op GS is deze accountkaping niet evident te reproduceren (mij lukte het niet in ieder geval) dus ik vind het goed dat ze het zelf ook hebben uitgeprobeerd.

[Voor 20% gewijzigd door Anoniem: 80466 op 21-05-2011 12:40]

zaterdag 21 mei 2011 12:46

Acties:

0Henk 'm!

SmiGueL

HenkEisDS schreef op zaterdag 21 mei 2011 @ 02:53:
Maaruh...WhatappHack, met je verse account, jij hebt het toch al voor elkaar gekregen? Nu vertel je ineens dat je ook de melding kreeg dat er niets verstuurd kon worden omdat je geen netwerk had. Wat is het nou? Is het je nou gelukt of niet? Mijn hoaxsonar stond al te piepen, maar volgens mij vaar ik nu een u-boot in...

Die melding kreeg hij omdat hij het op mijn manier probeerde te testen:

Maar als ik m'n toestel in flight modus zet gaat WhatsApp per direct bitchen dat er "No network coverage, ABORT" is.

Op de lege pre-paid simkaart was het al bewezen dat het werkte. Ik wou juist kijken of het werkte met je normale simkaart, met de telefoon in flightmode.

Waarom ik het op deze manier even getest wou hebben is omdat je dan geen lege pre-paid simkaart nodig hebt, en het dus gewoon kan uitvoeren met je 'normale' simkaart

Maargoed, iemand al over nagedacht hoe WhatsApp dit zou kunnen oplossen?
Zou toch fijn zijn als niemand mijn telefoon over kan nemen. (ook al merk in het waarschijnlijk diezelfde dag nog)

[Voor 14% gewijzigd door SmiGueL op 21-05-2011 13:23]

zaterdag 21 mei 2011 13:23

Acties:

0Henk 'm!

WhatsappHack

Ze verwijzen daar toch naar Geenstijl en hun tipgever (jij dus).

Ja en nee. Ze verwijzen er naar maar melden vervolgens dat het alleen theorie is maar dat WebWereld het succesvol in praktijk heeft "omgezet". Dat is dus de grootste bullshit.

Ze kunnen het wel getest hebben, maar het was allang aangetoond dat het in praktijk werkte

Maargoed, iemand al over nagedacht hoe WhatsApp dit zou kunnen oplossen?

Er zijn meerdere opties waar we nu over aan het brainstormen zijn:

- SMS vanuit WhatsApp zelf laten versturen, kost ze wel wat centjes, maar dat verdienen ze wel weer terug.
- Telefoon verificatie door te bellen met nummerherkenning ipv sms

En als failover systeem:
Op bestaande account het IMEI nummer controleren. Nieuwe telefoon? Vul eerst je oude IMEI nummer in om teogang te krijgen. Dit laatste is alleen een beetje problematisch, gezien het probleem dat als iemand nog nooit WhatsApp heeft gebruikt, een kwaadwillend persoon het account kan registreren. En dan weet je nooit wat het IMEI nummer is, hehe. Dus daar zit een probleempje in en komt er waarschijnlijk niet in.

Vandaar dat het waarschijnlijk een smsje wordt dat door WhatsApp zelf wordt verstuurd in plaats van een smsje naar jezelf...

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 13:31

Acties:

0Henk 'm!

SmiGueL

Op de huidige manier wordt er een sms gestuurd vanuit je eigen telefoon, maar controleert WhatsApp maar op 2 van de 3 volgende punten:

1: Of het 06 nummer van de verzender van het SMSje klopt (aka: jijzelf) [proof]
2: Of de inhoud van het SMSje klopt (aka: de verificatiecode in de SMS zelf)
3: Het nummer van de ontvanger wordt niet gechecked (anders zou de ECHTE WhatsApp gebruiker de sms ontvangen)

Wat als ze nou simpelweg ook checken op punt 3?
Dat zou dan toch al een stuk veiliger zijn?
(tenzij de methode van basst85 werkt, dan kan ook deze gespoofed worden)
Ze hoeven iig zelf geen SMS te sturen op deze manier

[Voor 3% gewijzigd door SmiGueL op 21-05-2011 13:40]

zaterdag 21 mei 2011 13:35

Acties:

0Henk 'm!

WhatsappHack

Tja, opletten op het nummer waar het SMSje naar toe gestuurd is zou ook een zeer goede zijn, maar niet elke telefoon wil dat naar voren laten komen voor zover ik merkte met een aantal test telefoontjes. Die hebben zo iets van: Je weet waar het aankomt.

Maar inderdaad, dat zou goed kunnen werken als ze gewoon kijken waar het smsje naar toe gestuurd is in plaats van alleen de afzender te checken

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 13:51

Acties:

0Henk 'm!

laurens0619

WhatsappHack schreef op zaterdag 21 mei 2011 @ 13:23:

Er zijn meerdere opties waar we nu over aan het brainstormen zijn:

- SMS vanuit WhatsApp zelf laten versturen, kost ze wel wat centjes, maar dat verdienen ze wel weer terug.
- Telefoon verificatie door te bellen met nummerherkenning ipv sms

En als failover systeem:
Op bestaande account het IMEI nummer controleren. Nieuwe telefoon? Vul eerst je oude IMEI nummer in om teogang te krijgen. Dit laatste is alleen een beetje problematisch, gezien het probleem dat als iemand nog nooit WhatsApp heeft gebruikt, een kwaadwillend persoon het account kan registreren. En dan weet je nooit wat het IMEI nummer is, hehe. Dus daar zit een probleempje in en komt er waarschijnlijk niet in.

Vandaar dat het waarschijnlijk een smsje wordt dat door WhatsApp zelf wordt verstuurd in plaats van een smsje naar jezelf...

Nou zover ik het kan lezen gebruikt whatsapp meerdere verificatie systemen en heb jij bewezen dat het systeem dat bij nokia telefoons (ook blackberry?) gebruikt wordt lek is:

- iPod touch: Stuurt naar de whatsapp server het nummer en whatsapp stuurt een sms naar de tel. Niet te spoofen dus (als ze hier iig wel een secret oid hierin opnemen die serverside gegenereert en gevalideerd wordt). Net zoals in bovenstaand bericht te lezen is gebeurt dit waarschijnlijk ook bij de iPhone dat het sms serverside verstuurd wordt.

- Telefoon verificatie: Ik kan je verklappen dat ik net zo makkelijk een belletje kan spoofen als een sms dus dat gaat ook niet helpen

Ze moeten gewoon client side validatie uitschakelen en overal server side (net zoals met iPod Touch) verificatie inschakelen

CISSP! Drop your encryption keys!

zaterdag 21 mei 2011 14:00

Acties:

0Henk 'm!

SmiGueL

Maareuh, als WhatsApp al een SMS naar jezelf kan sturen, dan weet hij je nummer toch sowieso al?
(Dit leest hij gewoon uit de telefoon)
Dan kan WhatsApp deze toch net zo goed encrypted over internet sturen naar de WhatsApp servers?
Het scheelt de gebruikers iig een SMS sturen, en lijkt me niet echt makkelijk te omzeilen
(tenzij je het voor elkaar krijgt om je telefoon te laten denken dat zijn nummer die van de andere persoon is..)

Het is natuurlijk niet zo veilig als WhatsApp zelf een SMS te laten versturen, maar misschien wel veiliger als de huidige methode

zaterdag 21 mei 2011 14:05

Acties:

0Henk 'm!

laurens0619

SmiGueL schreef op zaterdag 21 mei 2011 @ 14:00:
Maareuh, als WhatsApp al een SMS naar jezelf kan sturen, dan weet hij je nummer toch sowieso al?
(Dit leest hij gewoon uit de telefoon)
Dan kan WhatsApp deze toch net zo goed encrypted over internet sturen naar de WhatsApp servers?
Het scheelt de gebruikers iig een SMS sturen, en lijkt me niet echt makkelijk te omzeilen
(tenzij je het voor elkaar krijgt om je telefoon te laten denken dat zijn nummer die van de andere persoon is..)

Het is natuurlijk niet zo veilig als WhatsApp zelf een SMS te laten versturen, maar misschien wel veiliger als de huidige methode

Je kan het niet (altijd) uit de telefoon uitlezen. Het is iig geen standaard feature van een simkaart om dit nr op te slaan wat ook weer logisch is omdat een simnr bij een simkaart/tel hoort en een simnr weer bij de operator met een mobiel nummer.

CISSP! Drop your encryption keys!

zaterdag 21 mei 2011 14:23

Acties:

0Henk 'm!

HerrKauwer

HerrKauwer schreef op zaterdag 21 mei 2011 @ 11:29:
Ik heb gister een poging gedaan om dit met de Android emulator te doen. Ik heb de beta apk gedownload en geïnstalleerd. Ik krijg daarna ook de timer van 15 minuten te zien maar er komt helaas niets in de verzonden berichten in /data/data/com.android.providers.telephony/databases/mmssms.db te staan. Als ik vanuit Android zelf een sms stuur naar een willekeurig nummer werkt dit wel en komen ze in de sms tabel te staan.

In opvolging van mijn vorige bericht: het is me gelukt met de emulator. Ik heb met

code:

1 2	adb shell logcat -b radio

de sms onderschept. Daarna kostte het wel even tijd om uit te zoeken wat het formaat precies was maar met deze online tool: http://rednaxela.net/pdu.php kon ik het gemakkelijk omzetten.

De data die je voorbij ziet komen ziet er ongeveer zo uit:

code:

D/SMS     (  124): SMS send size=2time=1305973559359
D/RILJ    (  124): [0215]> SEND_SMS
D/RIL     (   32): onRequest: SEND_SMS
D/AT      (   32): AT> AT+CMGS=73
D/AT      (   32): AT< > 
D/AT      (   32): AT> 0001000b911316325476f80000445774983e0fc2e1201c8c66cbc170b9190d16a3d160b4d82d06baa2c3f479100e07a5ddf4b2dc1d6683eaf332a8059a87cd6510fd0d22a7e7e3b09c0c^Z
D/AT      (   32): AT< +CMGS: 0
D/AT      (   32): AT< OK
D/RILJ    (  124): [0215]< SEND_SMS { messageRef = 0, errorCode = 0, ackPdu = null}
D/SMS     (  124): SMS send complete. Broadcasting intent: PendingIntent{405bd4c0: android.os.BinderProxy@405bd410}

Uiteraard wel op mijn eigen nummer geprobeerd

zaterdag 21 mei 2011 14:38

Acties:

0Henk 'm!

Asure

Lol, met emulator is het helemaal leuk idd.
Die heeft geen radio, en geen mogelijkheid tot sms-zenden, dus idd. loggen en klaar ben je.

Als bonus heeft zo'n emulator natuurlijk wel een werkend netwerk via je pc/lan, dus whatsapp data lezen daarna dat wil prima, als je de sms daar ook weer op kunt 'ontvangen'. Ik weet niet of de android emulator dat kan?Zo ja, dan is het leuk hacken met je pc zonder dat je een Android phone hebt.. slechte zaak dus.

Evt. ook leuk toepasbaar met andere telefoon-emulators die logbaar dingen doen..

Extragratis bonus is om even een fake radio naar je fone te pushen met adb, die tijdelijk dan niet kan bellen/sms'en, en met een echte telefoon dit als proof-of-concept eens uit te voeren. Volgens mij is er een 'fakeril' die je in init.rc kiepert, al voldoende (+ adb logcat radio natuurlijk.)

zaterdag 21 mei 2011 14:43

Acties:

0Henk 'm!

HerrKauwer

Asure schreef op zaterdag 21 mei 2011 @ 14:38:
als je de sms daar ook weer op kunt 'ontvangen'. Ik weet niet of de android emulator dat kan?

Dat miste nog aan mijn bericht. Met de emulator kun je inderdaad sms'jes naar de emulator sturen, je kunt dan ook zelf een nummer opgeven. Oftewel je stuurt het onderschepte sms'je gewoon weer terug met de goede afzender.

zaterdag 21 mei 2011 14:52

Acties:

0Henk 'm!

SmiGueL

kanweg..

@laurens0619: reageer volgende keer niet zo snel

, had mn bericht al verwijderd

[Voor 193% gewijzigd door SmiGueL op 21-05-2011 14:57]

zaterdag 21 mei 2011 14:54

Acties:

0Henk 'm!

laurens0619

nvm

[Voor 98% gewijzigd door laurens0619 op 21-05-2011 14:58]

CISSP! Drop your encryption keys!

zaterdag 21 mei 2011 15:03

Acties:

0Henk 'm!

WhatsappHack

SmiGueL schreef op zaterdag 21 mei 2011 @ 14:00:
Maareuh, als WhatsApp al een SMS naar jezelf kan sturen, dan weet hij je nummer toch sowieso al?
(Dit leest hij gewoon uit de telefoon)
Dan kan WhatsApp deze toch net zo goed encrypted over internet sturen naar de WhatsApp servers?
Het scheelt de gebruikers iig een SMS sturen, en lijkt me niet echt makkelijk te omzeilen
(tenzij je het voor elkaar krijgt om je telefoon te laten denken dat zijn nummer die van de andere persoon is..)

Het is natuurlijk niet zo veilig als WhatsApp zelf een SMS te laten versturen, maar misschien wel veiliger als de huidige methode

Nee nee, hij stuurt een sms naar jezelf als je je met je eigen nummer aanmeld

Als je een ander nummer invoert stuurt hij daar een sms naar. WhatsApp weet je nummer dus niet maar neemt het nummer wat jij intikt over en probeert daar naar toe te smsen

Als het je eigen nr is komt t bij jezelf aan ja

Maar server side verificatie zou idd veel beter zijn, zoals voorgesteld. Gewoon vanuit de WA servers zelf een bericht laten versturen voor authenticatie... Valt er weinig meer te spoofen, hehe. Alhoewel... dan duiken we de pakketjes misschien in..

WhatsApp zelf leest dus niets uit qua tel. nr van je simkaart. Alleen IMSI nummer, zodat ie stopt met werken als je een nieuwe sim erin duwt.

[Voor 6% gewijzigd door WhatsappHack op 21-05-2011 15:07]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 15:12

Acties:

0Henk 'm!

Anoniem: 227839

WhatsappHack schreef op zaterdag 21 mei 2011 @ 15:03:
[...]

Gewoon vanuit de WA servers zelf een bericht laten versturen voor authenticatie... Valt er weinig meer te spoofen

Nou gewoon....gewoon....

De software van What'sapp zal dus zowel aan de server-
als aan de clientkant aangepast moeten worden.

What'sapp moet nu honderden sms'jes gaan
sturen (lees: kost geld)

Ze kunnen dat geld dan wel aan de gebruiker gaan
vragen (door/tijdens aanschaf ofzo) maar dan zullen dus ook
alle voorwaarden aangepast moeten worden mbt tot
het gebruik van hun dienst.

Oftewel.....ik kan me voorstellen dat ze er niet blij
mee zijn :-)

zaterdag 21 mei 2011 16:14

Acties:

0Henk 'm!

WhatsappHack

Ach, na het eerste jaar moet je op Android toch $2 per jaar dokken. Als ze smsjes groot inkopen en ze vragen $0,50 USD meer dan hebben ze die kosten ook weer terug

Zoveel maakt het niet uit

Overigens kudo's aan @HerrKauwer. Mooi om te zien dat er dus nog meer methoden zijn

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 16:57

Acties:

0Henk 'm!

F1xxer

Als je dit hele verhaal uitvoert krijg je meldingen dat je twee keer hetzelfde telefoonnr gebruikt en je op een van de twee/meerdere telefoons de app moet deinstalleren.

Maar heeft nu iemand dit kunnen reproduceren? Of is dit weer een bericht van iemand die denkt dat hij wat heeft uitgevonden, maar door z'n eigen fout zichzelf kan "hacken"..?

zaterdag 21 mei 2011 17:24

Acties:

0Henk 'm!

HenkEisDS

Topicstarter

WhatsappHack schreef op zaterdag 21 mei 2011 @ 16:14:
Ach, na het eerste jaar moet je op Android toch $2 per jaar dokken. Als ze smsjes groot inkopen en ze vragen $0,50 USD meer dan hebben ze die kosten ook weer terug
Zoveel maakt het niet uit

Overigens kudo's aan @HerrKauwer. Mooi om te zien dat er dus nog meer methoden zijn

Het versturen van een SMS kost echt 3 keer niets.

Via Smspack verstuur ik ze voor 6ct per stuk, maar dan koop ik erg klein in. Als je een eigen smsgateway zou hebben kost het denk ik nog geen cent.

Over je eerste reactie: Je had gelijk, helemaal overheen gelezen.

zaterdag 21 mei 2011 18:38

Acties:

0Henk 'm!

WhatsappHack

HenkEisDS schreef op zaterdag 21 mei 2011 @ 17:24:
[...]
Het versturen van een SMS kost echt 3 keer niets. Via Smspack verstuur ik ze voor 6ct per stuk, maar dan koop ik erg klein in. Als je een eigen smsgateway zou hebben kost het denk ik nog geen cent.

Over je eerste reactie: Je had gelijk, helemaal overheen gelezen.

Ja ik heb ze ingekocht voor 7 cent per stuk, primary route. Buiten primary route mocht ik geen willekeurig nummer als afzender geven

Anders was het 4 cent geloof ik. Ik koop dus ook klein in, heb 200 credits voor 2 pond ofzo (1 penny per credit, smsje naar NL = 7 credits).
Maar ik zag wel dat als je al boven de 50000 credits in koopt je al dikke kortingen begint te krijgen. Voor een service als WhatsApp gaat ze dat inderdaad geen ruk meer kosten als ze groot inkopen

Ik moet ook eens kijken naar dat SMSpack denk ik, hebben ze een goede API? Het scheelt maar 2 cent per SMS of zo, maar voor een dienst waar ik mee bezig ben heb ik er ook veel nodig

F1xxer schreef op zaterdag 21 mei 2011 @ 16:57:
Als je dit hele verhaal uitvoert krijg je meldingen dat je twee keer hetzelfde telefoonnr gebruikt en je op een van de twee/meerdere telefoons de app moet deinstalleren.

Maar heeft nu iemand dit kunnen reproduceren? Of is dit weer een bericht van iemand die denkt dat hij wat heeft uitgevonden, maar door z'n eigen fout zichzelf kan "hacken"..?

Nee, misschien op een iPhone, maar op Android en Symbian gaat dat niet op, werkt perfect.
De persoon van wie de account origineel is wordt uitgelogd op zijn/haar eigen telefoon en krijgt een foutmelding dat ze moeten deinstalleren.
Het blijft perfect werken op de telefoon waarmee je het account hebt overgenomen...

Heb je uberhaupt het hele topic gelezen en alle artikelen? En het filmpje, hoe brak de kwaliteit ook is, op Dumpert? Begin daar eens mee

Dan is je vraag over of het wel of niet werkt al tig keer beantwoord

Ik vraag me af of je het eigenlijk zelf getest hebt voordat je de claim maakte dat je dan op beide telefoons een foutmelding krijgt...? Heb het namelijk talloze keren met diverse accounts, zowel bestaande als niet (meer) bestaande accounts, en het werkte feilloos. Zelfs als de telefoon nog ingeschakeld stond.

Hoe jij dus aan die foutmelding komt vraag ik me af, dat is wel erg raar...

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 18:44

Acties:

0Henk 'm!

Marzman

They'll never get caught.

WhatsappHack schreef op zaterdag 21 mei 2011 @ 18:38:
[...]

Ja ik heb ze ingekocht voor 7 cent per stuk, primary route. Buiten primary route mocht ik geen willekeurig nummer als afzender geven Anders was het 4 cent geloof ik. Ik koop dus ook klein in, heb 200 credits voor 2 pond ofzo (1 penny per credit, smsje naar NL = 7 credits).
Maar ik zag wel dat als je al boven de 50000 credits in koopt je al dikke kortingen begint te krijgen. Voor een service als WhatsApp gaat ze dat inderdaad geen ruk meer kosten als ze groot inkopen
Ik moet ook eens kijken naar dat SMSpack denk ik, hebben ze een goede API? Het scheelt maar 2 cent per SMS of zo, maar voor een dienst waar ik mee bezig ben heb ik er ook veel nodig

[...]

Nee, misschien op een iPhone, maar op Android en Symbian gaat dat niet op, werkt perfect.
De persoon van wie de account origineel is wordt uitgelogd op zijn/haar eigen telefoon en krijgt een foutmelding dat ze moeten deinstalleren.
Het blijft perfect werken op de telefoon waarmee je het account hebt overgenomen...

Heb je uberhaupt het hele topic gelezen en alle artikelen? En het filmpje, hoe brak de kwaliteit ook is, op Dumpert? Begin daar eens mee Dan is je vraag over of het wel of niet werkt al tig keer beantwoord
Ik vraag me af of je het eigenlijk zelf getest hebt voordat je de claim maakte dat je dan op beide telefoons een foutmelding krijgt...? Heb het namelijk talloze keren met diverse accounts, zowel bestaande als niet (meer) bestaande accounts, en het werkte feilloos. Zelfs als de telefoon nog ingeschakeld stond.
Hoe jij dus aan die foutmelding komt vraag ik me af, dat is wel erg raar...

Het mag dan geen ruk kosten per sms, maar zoals je zelf al zegt moeten ze er wel "heul veul" kopen en dan kost het toch behoorlijk wat. En Whatsapp begint binnenkort pas voor het eerst geld op te leveren, tot nu toe hebben ze alleen nog maar kosten gehad (wat dat betreft komt dit nieuws allemaal heel slecht getimed voor ze)

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

zaterdag 21 mei 2011 18:59

Acties:

0Henk 'm!

WhatsappHack

Laten we het netjes houden

[Voor 72% gewijzigd door iisschots op 21-05-2011 20:45]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 mei 2011 20:03

Acties:

0Henk 'm!

basst85

HerrKauwer schreef op zaterdag 21 mei 2011 @ 14:23:
[...]

In opvolging van mijn vorige bericht: het is me gelukt met de emulator. Ik heb met
code:
1
2
adb shell
logcat -b radio
de sms onderschept. Daarna kostte het wel even tijd om uit te zoeken wat het formaat precies was maar met deze online tool: http://rednaxela.net/pdu.php kon ik het gemakkelijk omzetten.
....

Uiteraard wel op mijn eigen nummer geprobeerd

Heb het ook even getest met de Android emulator, dat werkt idd prima zo!
logcat -b radio was de "sleutel", ik zat maar te zoeken in de mmssms.db database maar hier stonden de verzonden SMS berichten niet in

En het mooie van de "Dalvik Debug Monitor" is dat je inderdaad SMS berichten naar je emulator kan versturen waarbij je zelf de afzender kan bepalen. Anders was het waarschijnlijk iets lastiger geworden.

[Voor 12% gewijzigd door basst85 op 21-05-2011 20:09]

zaterdag 21 mei 2011 21:39

Acties:

0Henk 'm!

WhatsappHack

WhatsappHack schreef op zaterdag 21 mei 2011 @ 18:59:
[mbr]Laten we het netjes houden[/]

Sorry dat ik de almachtige iPhone beledigde

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zondag 22 mei 2011 07:41

Acties:

0Henk 'm!

basst85

HerrKauwer schreef op zaterdag 21 mei 2011 @ 14:23:
[...]

In opvolging van mijn vorige bericht: het is me gelukt met de emulator. Ik heb met
code:
1
2
adb shell
logcat -b radio
de sms onderschept. Daarna kostte het wel even tijd om uit te zoeken wat het formaat precies was maar met deze online tool: http://rednaxela.net/pdu.php kon ik het gemakkelijk omzetten.

De data die je voorbij ziet komen ziet er ongeveer zo uit:
....

Uiteraard wel op mijn eigen nummer geprobeerd

Ik heb even een video gemaakt van deze "hack" methode:

[YouTube: http://www.youtube.com/watch?v=0m6PIFXdYiU]
(kwaliteit is niet helemaal super, maar goed genoeg in fullscreen modus)

zondag 22 mei 2011 14:09

Acties:

0Henk 'm!

Anoniem: 227839

HenkEisDS schreef op vrijdag 20 mei 2011 @ 22:20:
www.andereafzender.nl te gebruiken... <- mijn site

Je site lijkt niet te werken. Als ik op de verstuurknop druk gebeurt er niets..

zondag 22 mei 2011 18:26

Acties:

0Henk 'm!

Anoniem: 407558

als een whatsapp account gekaapt is, krijgt deze gauw foutmeldingen binnen na het proberen te verzenden van nieuwe berichten na de periode van overname. Als de gekaapte vervolgens opnieuw installeert, kan de hacker toekomstige berichten niet meer ontvangen. Ook eerder ontvangen berichten zijn niet te kapen zoals is gebleken. Uit dit alles kan er dus, als het goed is, geconcludeerd worden dat de hacker die op jacht is naar persoonlijke/gevoelige informatie niet veel aan deze methode heeft. het afluisteren van berichten is dus niet mogelijk

zondag 22 mei 2011 18:40

Acties:

0Henk 'm!

WhatsappHack

Anoniem: 407558 schreef op zondag 22 mei 2011 @ 18:26:
als een whatsapp account gekaapt is, krijgt deze gauw foutmeldingen binnen na het proberen te verzenden van nieuwe berichten na de periode van overname. Als de gekaapte vervolgens opnieuw installeert, kan de hacker toekomstige berichten niet meer ontvangen. Ook eerder ontvangen berichten zijn niet te kapen zoals is gebleken. Uit dit alles kan er dus, als het goed is, geconcludeerd worden dat de hacker die op jacht is naar persoonlijke/gevoelige informatie niet veel aan deze methode heeft. het afluisteren van berichten is dus niet mogelijk

Dat is subjectief.
Je krijgt, als het account actief is, inderdaad alleen de berichten binnen zolang jij het account in je grip hebt.

Echter, als iemand een nieuw nummer neemt of zijn/haar telefoon geruime tijd heeft uitstaan krijg je alle berichten binnen die nog niet afgeleverd zijn, tot maanden terug. Daarbovenop denken de mensen dat jij de persoon bent die in hun contactenlijst staat, dus zo kan je lekker doorgaan met social engineering.

Inderdaad, het gaat niet op voor alle accounts, maar er is zeker mee te vissen en te pesten.
Onthoud dat je wél alle telefoonnummers ook krijgt van de mensen die berichten hebben gestuurd in de tijd dat de account niet te bereiken viel.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zondag 22 mei 2011 19:06

Acties:

0Henk 'm!

HenkEisDS

Topicstarter

Anoniem: 227839 schreef op zondag 22 mei 2011 @ 14:09:
[...]

Je site lijkt niet te werken. Als ik op de verstuurknop druk gebeurt er niets..

Fixed & tnx

zondag 22 mei 2011 19:17

Acties:

0Henk 'm!

Anoniem: 407558

WhatsappHack schreef op zondag 22 mei 2011 @ 18:40:
[...]

Dat is subjectief.
Je krijgt, als het account actief is, inderdaad alleen de berichten binnen zolang jij het account in je grip hebt.

Echter, als iemand een nieuw nummer neemt of zijn/haar telefoon geruime tijd heeft uitstaan krijg je alle berichten binnen die nog niet afgeleverd zijn, tot maanden terug. Daarbovenop denken de mensen dat jij de persoon bent die in hun contactenlijst staat, dus zo kan je lekker doorgaan met social engineering.

Inderdaad, het gaat niet op voor alle accounts, maar er is zeker mee te vissen en te pesten.
Onthoud dat je wél alle telefoonnummers ook krijgt van de mensen die berichten hebben gestuurd in de tijd dat de account niet te bereiken viel.

Dat klopt. Voor de social engineer of phisher is deze goud waard. De luistervink die als doel heeft om gesprekken in real-time mee te luisteren krijgt er niet veel uit. Dit ter verduidelijking, omdat sommige gepubliceerde artikelen het hebben over "het gewoon kunnen volgen van gesprekken" terwijl dit in de praktijk iets moeilijker wordt.

zondag 22 mei 2011 22:35

Acties:

0Henk 'm!

WhatsappHack

Anoniem: 407558 schreef op zondag 22 mei 2011 @ 19:17:
[...]

Dat klopt. Voor de social engineer of phisher is deze goud waard. De luistervink die als doel heeft om gesprekken in real-time mee te luisteren krijgt er niet veel uit. Dit ter verduidelijking, omdat sommige gepubliceerde artikelen het hebben over "het gewoon kunnen volgen van gesprekken" terwijl dit in de praktijk iets moeilijker wordt.

Hahahaha, nu je het zegt schiet me te binnen; wel frapant eigenlijk dat er toevallig 2 dagen eerder bekend werd gemaakt dat je op (onbeveiligde) WiFi netwerken en met "evil-twins" wél die gesprekken kan volgen met de meest simpele tooltjes

Het is echt zo lek als een vaatdoek op het moment...

Kan je niet meelezen dan kan je wel het account (tijdelijk) overnemen

Maar inderdaad, als het om deze methode gaat is het realtime meekijken van gesprekken onmogelijk. Is dat serieus ergens gepubliceerd? Damn o0

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

maandag 23 mei 2011 00:38

Acties:

0Henk 'm!

SmiGueL

Vraagje:
Bij het spoofen van een e-mail, is het volgens mij zo dat de naam van de afzender dus 'nep' is, zodat het voor de ontvanger lijkt alsof de email van deze 'neppe' afzender komt (klinkt logisch toch?

)
Maar, er is in de headers van de email wel terug te zien dat de email eigenlijk van een ander emailadres komt
(iig als het vanaf een Hotmail adres verstuurd is was dit wel het geval, bij Gmail is dit iig niet niet meer mogelijk)

Maaar, is dit bij een SMS bericht toevallig ook niet zo?
(dat het voor de ontvanger lijkt alsof het van de 'neppe' afzender komt, maar dat bij een DPI blijkt dat het van iemand anders komt?

In dit geval kan WhatsApp het probleem oplossen door de SMS naar hunzelf te laten sturen, en door DPI controleren of het bericht wel ECHT vanaf de telefoon verstuurd is, i.p.v. door een website oid.
Hierdoor hoeft Whatsapp geen SMS bericht terug te sturen, (wat wss een groot obstakel is) want de verificatiegoedkeuring kan gewoon via internet gaan

maandag 23 mei 2011 09:59

Acties:

0Henk 'm!

WhatsappHack

Hi,

Nee, dat valt dus niet te zien als je met een gateway smst. De afzender klopt als een bus.
Wellicht dat er iets te zien valt aan het sms centrale nummer, maar zelfs dat is denk ik niet te zien plus sommige mensen gebruiken een andere centrale dan het gros van de gebruikers.

Echter, het versturen van een SMS naar een nummer van WhatsApp, een shortcode (Bijvoorbeeld naar tel. nummer: 1234), zou dit probleem verhelpen gezien sms gateways niet accepteren dat je naar een shortocde danwel betaald nummer een sms verzend.

[Voor 5% gewijzigd door WhatsappHack op 23-05-2011 09:59]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

maandag 23 mei 2011 11:59

Acties:

0Henk 'm!

Voutloos

Of gewoon andersom.

Whatsapp stuurt zelf de SMS en die kan de aanvaller niet ontvangen. Klaar. Hatsikidee. End of story. In the pocket. Grootste Succes Ooit.

{signature}

maandag 23 mei 2011 12:13

Acties:

0Henk 'm!

Marzman

They'll never get caught.

WhatsappHack schreef op maandag 23 mei 2011 @ 09:59:
Hi,

Nee, dat valt dus niet te zien als je met een gateway smst. De afzender klopt als een bus.
Wellicht dat er iets te zien valt aan het sms centrale nummer, maar zelfs dat is denk ik niet te zien plus sommige mensen gebruiken een andere centrale dan het gros van de gebruikers.

Echter, het versturen van een SMS naar een nummer van WhatsApp, een shortcode (Bijvoorbeeld naar tel. nummer: 1234), zou dit probleem verhelpen gezien sms gateways niet accepteren dat je naar een shortocde danwel betaald nummer een sms verzend.

Maar je stuurt het smsje naar jezelf en jouw mobiel heeft geen shortcode. Dan zou Whatsapp als ze een dienst hadden met een shortcode het alsnog door moeten sturen, het enige wat dit op zou leveren is dat ze er geld voor kunnen vragen en zo het smsje terug kunnen bekostigen (en eventueel de dienst zelf, niet eens zo'n gek idee om een micropayment per sms te vragen. 2 dollar is ongeveer 1,50 denk ik, zo veel smsdiensten kosten dat).

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

maandag 23 mei 2011 12:57

Acties:

0Henk 'm!

WhatsappHack

Je begrijpt me verkeerd denk ik

Het gaat er niet om dat mijn mobiel een shortcode heeft, maar dat WhatsApp zelf een nummer met shortcode hebben.

Zie het zo:
Stap 1: Je meldt je aan met je telefoonnummer bij WhatsApp
Stap 2: Telefoon maakt verbinding met servers van WhatsApp met initiele gegevens
Stap 3: WhatsApp op telefoon stuurt een sms naar een shortcode nummer (Van whatsapp zelf) vanaf je sim kaartje.
Stap 4: WhatsApp activeert zichzelf doordat de server van WhatsApp akkoord geeft omdat het smsje is ontvangen en op je telefoon wordt nu, via internet over de servers van WA, het account gevalideerd.

Valt niets meer aan te spoofen.

Dat, of je vervangt stap 3 voor een SMS dat vanuit WhatsApp zelf vanaf een short code, of normaal nummer zou ook kunnen, wordt verstuurd met daarin verificatie die de client kan accepteren, dit zou echter meer geld kosten voor WhatsApp gezien ze in plaats van smsjes ontvangen de smsjes moeten verzenden.
Bij de andere methode kost het ze niets, en het valt niet te spoofen omdat je niet gespoofd naar shortcodes kan smsen... Tenminste, voor zover ik weet. Ik heb nog geen enkele dienst kunnen vinden die het accepteert.
De 2e manier valt ook niet te spoofen omdat je immers niet weet wat de inhoud is van het bericht dat vanuit WhatsApp wordt verstuurd. De 2e manier is mogelijk nog nét iets veiliger, maar kost ze wel meer geld.

[Voor 7% gewijzigd door WhatsappHack op 23-05-2011 12:59]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

maandag 23 mei 2011 13:31

Acties:

0Henk 'm!

HenkEisDS

Topicstarter

WhatsappHack schreef op maandag 23 mei 2011 @ 09:59:
Hi,

Nee, dat valt dus niet te zien als je met een gateway smst. De afzender klopt als een bus.

Niet helemaal waar. Als je zelf een telefoonnummer als afzender invoert kun je maximaal 11 karakter kiezen. +31618123123 zijn er 12.

Een sms verzonden door een smsgateway zullen dus volgens mij nooit +31 ervoor hebben.

Nu heb ik geen oude telefoon om dit te testen, mijn telefoon maakt er automatisch mijn naam van omdat deze voorkomt in het adressenboek. Maar als ik iemand 2 smsjes kan versturen 1 via gateway en 1 via mijn mobiel dan test ik het graag. Nummer graag.

maandag 23 mei 2011 14:50

Acties:

0Henk 'm!

WhatsappHack

Ja hoor, gewoon de plus weglaten

Dus 316 ipv +316

Werkt perfect, daar hebben ze over nagedacht. anders zou je met een gateway niet internationale afzenders kunnen pakken als daar ook 10 cijferige nummers zijn

Bij mijn gateway werkt t iig door de + weg te laten, die wordt later weer toegevoegd door het systeem zelf.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

dinsdag 24 mei 2011 11:01

Acties:

0Henk 'm!

HenkEisDS

Topicstarter

Volgens mij doet je telefoon dat dan zelf toevoegen. Zou ook wel gek zijn want in het veld voor afzender kun je ook tekst zetten, lijkt me stug dat hij dan daar ook + voor zou zetten. Volgens mij is het gewoon een varchar(11) veld.

Weet het niet helemaal zeker, kan het namelijk niet testen omdat al mijn toestellen die + wel toevoegen.

dinsdag 24 mei 2011 11:05

Acties:

0Henk 'm!

Lulukai

God's gift to women

Trommelrem schreef op zaterdag 21 mei 2011 @ 10:15:
[...]

Via 0653141414 (SMSC van de PTT) kan dat dus wel. Sterker nog, het moet.

Kan je hier meer over vertellen? Ik ben niet Nederlands dus weet niet wat PTT is, maar het lijkt me sterk dat er SMSC's zijn die je laten versturen via valse nummers..

Bender schreef op zaterdag 21 mei 2011 @ 10:32:
[...]

Misschien trek ik je post uit zijn verband, maar dit kan gewoon als je ze via internet verstuurd naar een telefoonnummer vie een telco.

Ja ik weet dat het via bepaalde diensten op het internet wél kan, maar via je gsm gaat je nooit lukken. Ik heb al volledig aangepaste commando's doorgestuurd en je telco blokkeert dit. Hoewel Trommelrem zegt dat het wel kan op een bepaalde manier via 'PTT', ik ben benieuwd..

[Voor 42% gewijzigd door Lulukai op 24-05-2011 11:13]

dinsdag 24 mei 2011 11:24

Acties:

0Henk 'm!

Marzman

They'll never get caught.

ruyckske schreef op dinsdag 24 mei 2011 @ 11:05:
[...]

Kan je hier meer over vertellen? Ik ben niet Nederlands dus weet niet wat PTT is, maar het lijkt me sterk dat er SMSC's zijn die je laten versturen via valse nummers..

PTT is de oude naam van KPN voor het opgesplitst werd in KPN (telecom) en TNT (post).

Ja ik weet dat het via bepaalde diensten op het internet wél kan, maar via je gsm gaat je nooit lukken. Ik heb al volledig aangepaste commando's doorgestuurd en je telco blokkeert dit. Hoewel Trommelrem zegt dat het wel kan op een bepaalde manier via 'PTT', ik ben benieuwd..

Via de GSM zal het ook wel lukken omdat je GSM ook alles met internet kan doen. Via een sms-centrale kan ik me er ook niks bij voorstellen omdat je normaal gesproken je telefoonnummer als afzender niet zelf ergens in moet stellen.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

dinsdag 24 mei 2011 11:24

Acties:

0Henk 'm!

HenkEisDS

Topicstarter

ruyckske schreef op dinsdag 24 mei 2011 @ 11:05:
[...]

Kan je hier meer over vertellen? Ik ben niet Nederlands dus weet niet wat PTT is, maar het lijkt me sterk dat er SMSC's zijn die je laten versturen via valse nummers..

[...]

Ja ik weet dat het via bepaalde diensten op het internet wél kan, maar via je gsm gaat je nooit lukken. Ik heb al volledig aangepaste commando's doorgestuurd en je telco blokkeert dit. Hoewel Trommelrem zegt dat het wel kan op een bepaalde manier via 'PTT', ik ben benieuwd..

Ik denk dat hij Posterijen, Telegrafie en Telefonie bedoelt, de voorloper van het huidige KPN.

dinsdag 24 mei 2011 12:57

Acties:

0Henk 'm!

WhatsappHack

HenkEisDS schreef op dinsdag 24 mei 2011 @ 11:01:
Volgens mij doet je telefoon dat dan zelf toevoegen. Zou ook wel gek zijn want in het veld voor afzender kun je ook tekst zetten, lijkt me stug dat hij dan daar ook + voor zou zetten. Volgens mij is het gewoon een varchar(11) veld.

Weet het niet helemaal zeker, kan het namelijk niet testen omdat al mijn toestellen die + wel toevoegen.

Nee, alleen met telefoon nummers bij mij. Bij mijn gateway is het verplicht om de country code toe te voegen aan elk telefoon nummer. 31, 44, 1, whatever. Dat zonder plus. De plus zie je in het volgende scherm wél staan, dus daar verstuurt ie het ook mee. Als je tekst invoert komt er geen plusje bij te staan

Ook als je bij details kijkt van de sms zie je netjes de plus terug komen

Weet natuurlijk niet hoe jou gateway werkt, maar bij die van mij werkt het iig op deze manier.

Die KPN ("PTT") centrale die genoemd wordt is volgens mij de "mail2sms" gateway en de software van KPN om met je computer sms berichten te versturen. Je kan daar echter helemaal niets spoofen. Alleen je eigen nummer wordt geaccepteerd, dus *ook* vanaf je computer *alleen* je eigen nummer...

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

dinsdag 24 mei 2011 20:00

Acties:

0Henk 'm!

WhatsappHack

Er is, als het goed is, zojuist een nieuwe versie van WhatsApp released (sowieso voor Android) die een paar lekken moet dichten en de verificatie verder beveiligd.

Ik ben benieuwd...

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

dinsdag 24 mei 2011 20:07

Acties:

0Henk 'm!

Trommelrem

ruyckske schreef op dinsdag 24 mei 2011 @ 11:05:
[...]

Kan je hier meer over vertellen? Ik ben niet Nederlands dus weet niet wat PTT is, maar het lijkt me sterk dat er SMSC's zijn die je laten versturen via valse nummers..

[...]

Ja ik weet dat het via bepaalde diensten op het internet wél kan, maar via je gsm gaat je nooit lukken. Ik heb al volledig aangepaste commando's doorgestuurd en je telco blokkeert dit. Hoewel Trommelrem zegt dat het wel kan op een bepaalde manier via 'PTT', ik ben benieuwd..

Dat kan al een tiental jaren via de SMSC van de PTT. Je belt met je modem in op dat telefoonnummer, je geeft de data, afzender en ontvanger op en je SMS wordt verstuurd. Volledig legacy en je kunt zelf bepalen wat de afzender is. Logisch ook, want hoe moet de PTT SMSC je mobiele nummer herkennen als je inbelt met een modem via PSTN?

Je kunt de PTT bellen (0800-0402 geloof ik) en je kunt ze vragen naar een handleiding voor de SMSC, maar ze zullen in beginsel niet begrijpen waar je het over hebt en je moet echt doorzeuren om die te krijgen. Wat je ook kunt doen is een derde partij applicatie gebruiken zoals Diafaan Oproep Lite.

Behalve een PSTN modem kun je ook je mobiele telefoon als PSTN modem gebruiken. De modem staat dan bij de telecomprovider. Een datanummer is hiervoor meestal niet nodig, ook al zal je telecomprovider zeggen van wel. Let er op dat je data via CSD loopt. Bij T-Mobile valt CSD (met mijn abonnement) gewoon onder je belbundel, maar wellicht is dat bij jouw provider niet het geval.

[Voor 7% gewijzigd door Trommelrem op 24-05-2011 20:13]

dinsdag 24 mei 2011 22:50

Acties:

0Henk 'm!

WhatsappHack

Zojuist de nieuwe build van WhatsApp binnen en geïnstalleerd op Symbian. (Via Whatsapp.com, Ovi Store heeft um nog niet bijgewerkt...)
Het lek is hier gedicht

De SMS verschijnt niet meer in de outbox dus het is nu niet meer mogelijk om op die manier de SMS te achterhalen. Nu zoeken naar nieuwe methoden.

De Android versie zou ook gepatched moeten zijn met de nieuwste update

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

dinsdag 24 mei 2011 23:58

Acties:

0Henk 'm!

SmiGueL

Dan installeer je toch gewoon een oude versie van WhatsApp om te activeren, en update je hem daarna?

(Ok, duurt niet lang voordat ze hierop checken, maar gok dat het wel gaat werken

)

[Voor 3% gewijzigd door SmiGueL op 24-05-2011 23:58]

woensdag 25 mei 2011 01:41

Acties:

0Henk 'm!

WhatsappHack

SmiGueL schreef op dinsdag 24 mei 2011 @ 23:58:
Dan installeer je toch gewoon een oude versie van WhatsApp om te activeren, en update je hem daarna?
(Ok, duurt niet lang voordat ze hierop checken, maar gok dat het wel gaat werken )

Denk dat als alle stores het approved hebben ze de update gaan forceren

Hebben ze eerder gedaan met Symbian. Kan je gewoon WA niet gebruiken als je niet upgrade, simpel

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

woensdag 25 mei 2011 09:09

Acties:

0Henk 'm!

Voutloos

Als je na update niet opnieuw moet valideren, gooien ze dus niet tijdens het updaten de aanvallers eruit.

{signature}

woensdag 25 mei 2011 12:28

Acties:

0Henk 'm!

WhatsappHack

Voutloos schreef op woensdag 25 mei 2011 @ 09:09:
Als je na update niet opnieuw moet valideren, gooien ze dus niet tijdens het updaten de aanvallers eruit.

Nee dat klopt. Maar actieve accounts kunnen toch weer terug overgenomen worden door de originele eigenaar.
Maar mja, het zou een probleem kunnen zijn. Zal het eens voorstellen.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

donderdag 26 mei 2011 13:44

Acties:

0Henk 'm!

SmiGueL

Waarom niet gewoon invoeren dat je alleen kan activeren met de nieuwste versie?
Lijkt me een stuk makkelijker omdat anders alle bestaande WhatsAppers die niet gehacked zijn
opnieuw moeten activeren... (lets say 99,99%)

- Mensen die niet gehacked zijn (99,99%) kunnen gewoon updaten en hoeven niet opnieuw te activeren.
- Mensen die wel gehacked zijn (hooguit 0,01%) moeten per se de nieuwste versie installeren en activeren om hun account terug te krijgen.. vervolgens kunnen hackers dit account niet terug-hacken omdat dit niet werkt met de nieuwste versie

Het enigste verschil met jou idee is dat de ´accounts´ van mensen die geen WhatsApp meer gebruiken en in de afgelopen paar dagen gehacked zijn niet worden geweerd... maarja, waarom zou iemand een account van iemand hacken die toch geen WhatsApp meer gebruik, en dus geen berichten meer krijgt en stuurt?

vrijdag 27 mei 2011 00:00

Acties:

0Henk 'm!

SmiGueL

Valt me op dat nog geen enkele tweaker heeft geprobeerd (of het is niet gelukt natuurlijk

) om WhatsApp op de manier te installeren zoals WhatsappHacker ontdekt heeft..

Voor het Whatsappen zelf is het helemaal niet nodig dat je op de telefoon met het bijbehorende nummer zit, dus mijn idee was dan ook gewoon om WhatsApp te registreren op een willekeurig sim-kaart nummertje, en dan deze te gebruiken voor op je tablet XD

basst85 heeft enkele dagen geleden al laten zien dat WhatsApp gewoon op een emulator geïnstalleerd kan worden (die standaard ook geen 06-nummer heeft)

Misschien dat iemand met een (gerootte) tablet kan kijken of het op deze manier mogelijk is om WhatsApp op een tablet werkend te krijgen?
Zou wel vet zijn namelijk

Ik heb nog wel oude .apk'tjes indien nodig (gezien de nieuwste versie uit de Market wss niet meer werkt om te activeren)

[Voor 9% gewijzigd door SmiGueL op 27-05-2011 00:03]

vrijdag 27 mei 2011 07:37

Acties:

0Henk 'm!

Marzman

They'll never get caught.

Volgens mij hebben mensen er zelfs filmpjes van gemaakt dat het kan. Om het nu te proberen (als het met de update verholpen is) lijkt me een kwestie van "te laat".

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

zaterdag 28 mei 2011 00:15

Acties:

0Henk 'm!

Voutloos

SmiGueL schreef op vrijdag 27 mei 2011 @ 00:00:
Valt me op dat nog geen enkele tweaker heeft geprobeerd (of het is niet gelukt natuurlijk ) om WhatsApp op de manier te installeren zoals WhatsappHacker ontdekt heeft..

Hij is nu geregistreerd, dus ook een tweaker.

Voor het Whatsappen zelf is het helemaal niet nodig dat je op de telefoon met het bijbehorende nummer zit

No shit sherlock, anders was dit topic er niet.

dus mijn idee was dan ook gewoon om WhatsApp te registreren op een willekeurig sim-kaart nummertje, en dan deze te gebruiken voor op je tablet XD

Misschien dat iemand met een (gerootte) tablet kan kijken of het op deze manier mogelijk is om WhatsApp op een tablet werkend te krijgen?

De app werkt gewoon al op een ipod touch zonder enige rootzooi of trucs.

{signature}

zondag 26 juni 2011 19:32

Acties:

0Henk 'm!

Anoniem: 412662

Hebben jullie (uberhaupt) of al mer gelezen over deze manier van t hacken vn whatsapp?

http://cemmerybit.blogspo...we-all-know-whatsapp.html (NB filmpje waar naar gelinked wordt is de sms hack)

of

http://www.yourdailymac.n...one-numbers-and-messages/

Ik ben benieuwd hoe dit werkt…

Ah! Het werkt alleen als je op hetzelfde netwerk zit, bijv. wifi in een cafe of station.. Boo!

[Voor 11% gewijzigd door Anoniem: 412662 op 26-06-2011 19:40]

dinsdag 28 juni 2011 20:58

Acties:

0Henk 'm!

gday

TENACIOUS D TIME!!!

Nou, ik dacht ook voor de fun even te proberen of ik het ook werkend zou krijgen in de emulator. Verveelde me een momentje. Ik probeerde het met m'n eigen nummer.

Toen ik m'n eigen nummer invoerde in de emulator, kreeg ik vervolgens een sms op mijn telefoon met een code. De update heeft dat dus wat beter beveiligd. Als ik die sms vervolgens in de emulator invoerde kon ik gewoon inloggen met WhatsApp op de emulator.

Daarna heb ik het weer verwijderd, en de emulator afgesloten. Vervolgens krijg ik WhatsApp niet meer aan de praat op mijn telefoon.

Ik heb het talloze malen opnieuw geinstalleerd, maar niks ... krijg steeds de volgende foutmelding:

Iemand enig idee hoe ik dit probleem kan omzeilen? Ik wil het best aan de developers van WhatsApp zelf vragen, maar ik lees her en der dat het ze 2 maanden kost om op supportvragen te reageren dus dat heeft niet zo veel zin.

Edit: De oplossing bleek te zijn om m'n device te wipen en opnieuw WhatsApp te installeren. Toen ging alles goed. Daarna heb ik weer een nandroid-backup teruggezet en bleef WhatsApp werken. Vage zooi ...

Had trouwens alsnog maar even WhatsApp gemaild en ze mailden wonderlijk genoeg binnen 2 uur terug! Helaas kwamen ze niet verder dan 'delete and reinstall' als reactie, wat ik uiteraard ook al 5 keer gedaan had.

[Voor 39% gewijzigd door gday op 29-06-2011 12:00]

ingen vill veta var du köpt din tröja

zondag 24 juli 2011 16:06

Acties:

0Henk 'm!

Anoniem: 416316

euhmmm vraagje...
ik gebruik de sony ericson xperia pro (android dus) maar ik kan nergens het smsje vinden wat hij probeert te versturen? Het komt niet in de outbox te staan...

zondag 24 juli 2011 16:16

Acties:

0Henk 'm!

DutchKel

Anoniem: 416316 schreef op zondag 24 juli 2011 @ 16:06:
euhmmm vraagje...
ik gebruik de sony ericson xperia pro (android dus) maar ik kan nergens het smsje vinden wat hij probeert te versturen? Het komt niet in de outbox te staan...

Hij verstuurt ook geen smsje meer, maar ontvangt een smsje.

#gday: Whatsapp heeft ergens een settingsbestand staan op je device, als je deze verwijderd dan moet je weer opnieuw door de registratieprocedure.

Waarschijnlijk blijft dat settingsbestand bij jou bestaan bij het verwijderen van de app

[Voor 25% gewijzigd door DutchKel op 24-07-2011 16:18]

Don't drive faster than your guardian angel can fly.

zondag 4 september 2011 22:00

Acties:

0Henk 'm!

Anoniem: 421559

Nee!

[Voor 96% gewijzigd door iisschots op 05-09-2011 21:34]

zondag 4 september 2011 22:06

Acties:

0Henk 'm!

Nobby

Nuts!

Helpen met wat? Iemand z'n account spoofen?

From all the things I have lost, I miss my mind the most - Ozzy
Uitvindingen zijn niets anders dan betere middelen naar een slechter doel - Berry van Aerle
Het uitzetten van je pc is als het dooddrukken van een muis, dat doe je niet zo makkelijk.

vrijdag 14 oktober 2011 04:21

Acties: