Bu yazıda chrome üzerinden web whatsapp kullananların whatsapp’larını haberleri olmadan nasıl kendi bilgisayarımızda açarız aşama aşama anlatacağız. Chrome örnek olarak seçilmiştir diğer tarayıcı kullanıcılarına da aynı mantıkda işlem yapılabilir.
Web whatsapp’ı incelerken bu açığı fark ettiğimde (2018) herkesin bildiği bir şeydir ve yakında kapatılır nasılsa diyerek çok önemsememiştim. Şimdi ise (2020) biraz araştırdığımda fark ettim ki bu yöntemi açık açık yazan bulamadım. Açık da hala giderilmemiş. Hatta insanlar hatayı fark ederek bunu kullanan yazılımlar bile üretmiş.
Not: Bu anlatımın çalışması için kişinin bilgisayarına erişimimizin olması gereklidir. Erişim uzaktan sosyal mühendislik yöntemleri ile de olabilir.
Yerel Depolama
Web siteleri iki şekilde kullanıcıdan veri tutarlar. Bunlardan biri herkesin bildiği çerezlerdir(cookie). Daha az bilineni ise yerel depolama(local storage) şeklidir. Yerel depolama işlemi adından da anlaşılacağı gibi bilgisayarda tutulur. Kişi tarayıcının verilerini temizlemeden veya gidip bu dosyaları silmeden kaybolmaz.
Web whatsapp’ın yerel depolamada tuttuğu verilerimizi görmek istersek eğer;
- web.whatsapp.com adresinden whatsapp’ınızı açın.
- Sağ tıklayıp öğeyi denetle yaparak veya ctrl+shift+I(chrome) yaparak geliştirme bölümünü açın.
- Console yazan kısma gelip localStorage yazın.
Gördüğünüz gibi karşınıza gelen şifreler whatsapp tarafından koyulmuş sizin kimliğinizi tanımaya yaran yerel dosyalar.
Sistem Açığı
Şimdi bu yerel depolamanın(local storage) konumuzla alakası var ne diyecek olursak web whatsapp uygulaması kişinin kimliğini tanımak için yerel depolama kullanır. Bu depolamalar bilgisayarda kayıtlı olduğu için web whatsapp’a ne zaman girseniz sizin hesabınız direk açılır. F5 yaparak sayfayı yenileseniz de sizin kimliğinizi bilir. Mesela az önce görüntülediğimiz localStorage keylerini silersek web whatsapp’ın artık bizi tanımayacağını görebiliriz. Console içindeyken localStorage.clear() yazın. Sonra F5 e basın.
Görüldüğü gibi artık bu tarayıcı tarafından tanınmıyoruz ve tekrardan QR kod okutmamız gerekli.
Bir bilgisayarda tarayıcı yerel depolamalarını alıp kendi bilgisayarımıza yerleştirdiğimizde kurban kişinin web whatsapp’ı da otomatik olarak bizim tarayıcımıza tanımlanır.
Dosya Aktarımı
Dosya gezgininde aşağıdaki klasöre gidin. %username% şuan aktif olan kullanıcının klasörünü açar.
|
1 |
C:\Users\%username%\AppData\Local\Google\Chrome\User Data |
Veriler bu klasör altında farklı profillerde açılabiliyor. Yani kimi bilgisayarlarda Default klasörü altında olurken kimi bilgisayarda Profile 1 gibi bir klasörün altında olabiliyor. Klasörlere bakarak bulabilirsiniz. Benim bilgisayarımda bu Default klasöründe.
Default > Local Storage > leveldb klasörüne girdiğimizde karşımıza gelen dosyalar içerisinde yerel depolamalar mevcuttur.
|
1 |
C:\Users\%username%\AppData\Local\Google\Chrome\User Data\Default\Local Storage\leveldb |
Kurban seçtiğiniz kişinin bilgisayında bu dizindeki dosyaları alıp kendi bilgisayarımızda aynı yere yapıştırırak web whatsapp’a giriş yapılırsa o kişinin whatsapp’ı açılacaktır.
Sonuç
Bahsettiğimiz işlemi yapmanın başka yolları da var. Biz bu işlemi el ile yapmayı gördük. Bunu bir script çalıştırarak otomatik yapmak (exe, bat, javascript vb.) sizin elinizdedir. İsterseniz bilgisayara takılan bir flash bellek ile yaparsınız isterseniz mailden gönderdiğiniz bir fotoğrafı açmasıyla veya whatsapp’dan attığınız bir linke tıklatarak. Orası sizin yazılım bilginize kalmış.
Açık Bildirimi
Bunu paylaşmamın sebebi, Whatsapp geliştirici ekibine açığı gönderdim. Bilgisayara erişimi olan bir kişi için kendilerinin yapabilecekleri bir şeyin olmadığını söylediler. Aslında bunu bir açık olarak görmediler. Bir nevi doğru çünkü bu yöntemin çalışması için sosyal mühendislik şart. Yani kurban kişinin bilgisayarına erişimimiz olmalı veya kendisine bir link, bir fotoğraf tıklatılmalı veya bir exe kodu çalıştırması sağlanmalıdır.
Whatsapp geliştiricilerinin yanıtı;
Merhaba Fatih,
Thank you for sharing this information with us. The Attacker in your scenario would also be able to install other software on the device that would compromise almost every account the Victim has. There is very little Whatsapp can do against an Attacker that controls the users Device. Although this issue does not qualify as a part of our bounty program we appreciate your report. We will follow up with you on any security bugs or with any further questions we may have.
Ed Kurson
Security
Meali:
“Bu bilgiyi bizimle paylaştığın için teşekkür ederiz. Senaryonuzdaki saldırgan, cihaza kurbanın sahip olduğu hemen hemen her hesabı tehlikeye atacak başka bir yazılım da yükleyebilirdi. Whatsapp’ın kullanıcıların cihazını kontrol eden bir saldırgana karşı yapabileceği bir şey yok. Bu sorun ödül programımızın bir parçası olarak nitelendirilemese de raporunuzu takdir ediyoruz. Herhangi bir güvenlik hatasında veya aklına gelebilecek diğer sorularda seni takip edeceğiz.“
Önlenebilir miydi sorusuna gelince evet “browser agent”, “cookie”, “IP” kontrolleri de eklenseydi ve her açılmada tekrar yapılarak her dakikada bir asenkron olarak telefon ile şifreli iletişim kurulsa bir nevi önlenebilirdi. Yalnız buda kullanıcılar için yorucu bir hal alabilirdi çünkü doğrulama yaptıkları halde tekrar tekrar doğrulama isteyebilirdi.
Kısacası Ed abimiz haklı. Bilgisayarınızın güvenliğini sağladığınız ve mantıklı bir kullanıcı olduğunuz taktirde kimse sizin hiçbir özel bilginizi çalamaz. Sizden kaynaklanan hatalarda da uygulama yapımcıları bunu üstlerine almıyorlar.