Halaman

Cara untuk hack wechat yang berkesan

Hack mana-mana akaun wechat dengan mengeksploitasi sistem pengesahan lemah.
Akaun Wechat terdedah kepada mekanisme pengesahan yang lemah. Sepanjang penyelidikan keselamatan saya yang saya dapati kelemahan ini dan ia dengan mudah boleh dieksploitasi menggunakan teknik engg sosial mudah. Wechat menjana Pengesahan mudah token atau OTP dan hantar ke pengguna telefon mudah alih. Jika bagaimanapun menggunakan engg sosial token auth ini diperolehi maka mana-mana pengguna boleh log masuk ke atau memadam akaun mangsa tanpa menggunakan mana-mana pengguna -id dan kata laluan mangsa . Penyerang juga boleh menetapkan semula kata laluan bagi mangsa menggunakan teknik sama. Kecacatan wujud dalam pengesahan lapisan lemah. Bahkan bank melaksanakan mekanisme ini token pengesahan tetapi mereka mempunyai lapisan berganda keselamatan. Adalah lebih baik untuk menetapkan semula kata laluan pengguna dengan menghantar mel kepada e-mel atau menengah alamat e-mel pengguna utama yang sering selamat berbanding menggunakan tanda tunggal pada telefon mudah alih.

Semua Android aplikasi pemaju dan penyelidik keselamatan harus menandakan ini sebagai isu yang dan cuba untuk melaksanakan lebih kuat pengesahan mechainsm .

Saya cuba untuk menghubungi dengan pasukan Wechat tetapi tidak mendapat sebarang maklum balas dari sana.

Laporan lengkap dengan POC adalah seperti berikut.

Langkah 1: Penyerang adalah pada telefon beliau iaitu ; android dan klik pada " Tidak boleh mengakses akaun anda"

Step2: Attacker dibentangkan dengan beberapa pilihan untuk mendapatkan akaun kembali melalui E-mel atau sms

Langkah 3 : Attacker memilih pilihan Log masuk melalui SMS dan dibentangkan dengan pilihan untuk memasukkan nombor telefon

Step4: Penyerang memasuki nombor telefon rakan atau mangsa dan klik Seterusnya

Kini merupakan penyerang yang mempunyai akses ke telefon mangsa dengan mudah boleh mengakses kod pengesahan. Akses kepada telefon mangsa juga boleh diperolehi sangat easilyby hanya meminta mangsa yang mungkin menjadi teman kepada penyerang untuk membuat panggilan dan dengan itu mendapat akses kepada hanya verificaton kod menghantar melalui pelayan wechat ATAU penyerang boleh menggunakan mana-mana teknik engg sosial othr untuk menipu mangsa dan mendapatkan kod.

Step5 : mangsa sudah log ke dalam telefon tingkap dalam akaun wechat dan masih mendapat kod pengesahan di telefon bimbit beliau.

Step6 : Penyerang memasuki kod pengesahan ke dalam telefon android beliau

Step7 : Selepas memasukkan kod auth penyerang secara langsung masuk ke akaun mangsa tanpa sebarang id pengguna dan kata laluan

Step8 : Selepas mendapatkan akses ke akaun penyerang mangsa boleh menukar kata laluan akaun mangsa. apabila memilih Logout pilihan penyerang dibentangkan dengan tingkap untuk menetapkan semula kata laluan.

Mangsa secara automatik log keluar daripada akaun dan dibentangkan dengan tidak sah mesej ralat kira apabila cuba melog masuk menggunakan gabungan id pengguna - kata laluan

Menggunakan kod pengesahan yang sama ia adalah mungkin untuk menghapuskan akaun mana-mana pengguna yang sedia ada dengan hanya memasukkan nombor telefon beliau .

Ini adalah bagaimana akaun wechat mana-mana pengguna boleh dikompromi , teknik engg Sosial jangan bekerja sebagai i telah mencuba ini pada beberapa orang tahu kepada saya dan ia berfungsi dengan sempurna.

Site Meter