Как взломать Telegram и WhatsApp.

Я решил проверить, действительно ли нужно быть спецслужбой, чтобы получить доступ к чужому аккаунту Telegram. Для этого я зарегистрировал тестовый аккаунт Telegram, обменялся несколькими тестовыми сообщениями:



А затем я провел атаку через сеть SS7 на один из тестовых номеров. И вот что у нас получилось:

Однако прочитать секретные чаты невозможно:



Но можно создать новый — и переписываться от имени жертвы:



После этого я провел атаку по той же схеме на WhatsApp. Доступ к аккаунту я конечно же получил, но так как WhatsApp (якобы) не хранит историю переписки на сервере, получить доступ к переписке, которая была ранее, не удалось. WhatsApp хранит backup переписки в Google Drive, поэтому для получения доступа к ней необходимо ещё взломать аккаунт Google. Зато вести переписку от имени жертвы, так что она не будет об этом знать – вполне реально:



Выводы: уж сколько раз твердили миру, что передача одноразовых кодов посредством SMS — небезопасна, так как мобильная связь в целом небезопасна. Уязвимостям подвержена не только технологическая сеть SS7, но и алгоритмы шифрование радиоинтерфейса. Атаки на сеть SS7 можно осуществлять из любой точки мира, а возможности злоумышленника не ограничиваются взломом мессенджеров. И сейчас все эти атаки становятся доступны не только спецслужбам, но и многим другим. Стоит также отметить, что все тесты проводились с настройками по умолчанию, то есть в режиме, в котором работает большинство пользователей.

По все вопросам писать:
Telegram ─ t.me/dinobambino