Mohamed Basetは、インターネットインスタントメッセンジャーのユーザーを攻撃する方法を開発した情報セキュリティの専門家です。 この方法は、QRコードの使用に基づいています。 現在、WeChat、Line、WhatsAppなど、多くのアプリケーションで認証にQRコードが使用されています。 SQRL(Secure QR Logins)は完全に安全な方法と考えられていましたが、そうではないようです。
Basetが示す方法には、テクノロジーとソーシャルエンジニアリングの両方が含まれます。 このようなハイブリッド攻撃方法は、攻撃者によって頻繁に使用されます。 インターネットメッセンジャーのユーザーを攻撃するには、攻撃者は何らかの方法で犠牲者に特別なQRコードをスキャンさせる必要があります。 これを使用する最も簡単な方法はフィッシングです。
この方法は、次の手順で構成されます。
1.攻撃者がクライアントQRセッションを開始し、フィッシングページでQRログインコードを複製します。
2.このページへのリンクが被害者に送信されます。 ページは非常に安全に見えます。
3.被害者は偽のQRコードをスキャンし、アプリケーションは認証トークンを送信して認証プロセスを完了します。
4.攻撃者は確認を受け取り、被害者のアカウントを制御できるようになります。
この方法が多少効果的であるためには、攻撃者はフィッシングサイトで更新して一時的なQRコードを複製するスクリプトを作成する必要があります。 実際、QR-LoginはQRコードの有効期間を制限します。 攻撃の主な条件-被害者と攻撃者の両方が同時にオンラインでなければなりません。
QRLJackingは、WhatsApp、WeChat、Line、Weibo、QQ Instant Messaging、QQ Mail、AlibabaでのQRLJackingを含むいくつかのメッセンジャーで既にテストされています。 開発者によると、すべての攻撃は正常に完了しました。
概念実証のソースコードは、BaseによってGitHubで公開されています 。
作業中のスクリプトをテストするには、サーバー側を構成する必要があります 。
1.「qrHandler.php」をサーバーにダウンロードします。 このスクリプトは、base64 QRコード文字列を有効なjpg画像に変換します。 デフォルトの画像ファイル名はtmp.jpgです。 スクリプトファイルのルートフォルダーにあり、phpファイルが要求されるたびに更新されます。 ユーザーを引き付けるために、WhatsAppページを偽造したり、メッセンジャーユーザー向けの魅力的なアプリケーションを備えたWebサイトを作成したりできます。
2.フィッシングWebページのソースであるファイル「phishing.html」を更新します。
クライアントのセットアップ(攻撃ブラウザ)
1. Firefoxを開きます
2.「about:config」を作成し、もちろん注意することに同意します。
3.文字列「security.csp.enable」を検索し、値をfalseに変更します。 スクリプトをテストした後、すべてを返すことをお勧めします。
4.アドオンGreasemonkeyをインストールし、ファイル「WhatsAppQRJackingModule.js」が稼働していることを確認します。
5.これで、すべての準備が整いました。 サンプル「 web.whatsapp.com 」を開いて、WhatsAppセッションがロードされるのを待ちます。 GreasemonkeyはWhatsAppモジュールを使用して動作を開始します。
6.被害者のフィッシングページへの直接リンクを送信します。
結果を見てみましょう:
どのリソースが脆弱ですか?
開発者によると、QLRJackingメソッドはインターネットメッセンジャーだけでなく、他のサービスにも使用できます。 脆弱なリソースとサービスのリストは次のとおりです。
チャット :WhatsApp、WeChat、Line、Weibo、QQ Instant Messaging
メーラー :QQメール、Yandexメール
eコマース: Alibaba、Aliexpress、Taobao、Tmall、1688.com、Alimama、Taobao Trips
オンラインバンキング: AliPay、Yandex Money、TenPay
識別サービス: Yandex Passport(Yandex Mail、Yandex Money、Yandex Maps、Yandexビデオなど)
モバイルソフトウェア: AirDroid
その他のサービス: MyDigiPass、Zapper&Zapper WordPress QRコードプラグイン、Trustly App、Yelophone、Alibaba Yunosによるログイン