السلام عليكم و رحمة الله وبركاته

 

قمت مؤخراً باختبار تطبيق WhatsApp و المتوفر في العديد من الأجهزة المحمولة، أشهرها جهاز الآي فون. قمت بهذا الإختبار بعد الجدال الذي شاهدته في التويتر، و أردت التأكد بنفسي كوني أحد مستخدمي هذا التطبيق ابتسامة عريضة.

الأدوات التي احتجتها لهذا الإختبار هي:

 

Slide2

1. هاتفي آي فون يحويان تطبيق WhatsApp.

2. حاسب آلي يحوي على بطاقة اتصال لاسلكية (Wi-Fi) و بطاقة اتصال سلكية (Ethernet).

3. برنامج Wireshark الذي يقوم بمراقبة البيانات التي تمر عبر نقاط الإتصال في الحاسب الآلي. بالإمكان الحصول على نسخة من البرنامج عن طريق الموقع http://www.wireshark.org/

4. خط اتصال بالإنترنت.

 

أما الخطة فكانت كالآتي:

Slide3

1. يقوم الهاتف أ بالإتصال بالإنترنت عن طريق بطاقة الإتصال اللاسلكية في الحاسب الآلي، و ذلك بعد أن نقوم بتحويل الأخيرة إلى نقطة وصول (Access Point).

2. نقوم بصنع ما يطلق عليه "جسر" بين نقطة الوصول و خط الإتصال السلكي. خط الإتصال السلكي متصل مباشرة بالإنترنت، بهذه الطريقة نوفر خدمة الإنترنت لنقطة الوصول بعد ربطها بخط الإتصال السلكي.

3. يقوم برنامج Wireshark بمراقبة البيانات التي تمر عبر خط الإتصال السلكي، و من بينها طبعاً رسائل تطبيق WhatsApp.

4. يقوم الهاتف ب بالإتصال بشبكة الهاتف المتحرك و التواصل مع الهاتف أ عن طريقها.

 

تم تطبيق الخطة السابقة و قمت بتبادل رسالتين بين الجهازين

 

IMG_0002.MOV_snapshot_07.13

 

و بالطبع قام برنامج Wireshark بالتقاط جميع البيانات. قمت بفرز البيانات الملتقطة لأظهر بيانات تطبيق WhatsApp فقط، اكتشف أن التطبيق يستخدم بروتوكول SSL الذي يقوم بتأمين الإتصال. رغم ذلك، استطعت قراءة الرسائل المتبادلة، أي أنها غير مشفرة كما يدعي البعض.

 

found_qwerty

 

found_eisa

 

إضافة إلى ذلك فإن التطبيق يضع رقم الهاتف ضمن الرسالة، لهذا السبب قمت بتضليل جزء من الرسالة.

 

هذه التجربة أثبتت أنه بمجرد إلتقاط البيانات المتبادلة بين تطبيقات WhatsApp سيتمكن المهاجم من قراءة الرسائل دون عناء، أي أن شركات الإتصالات تستطيع قراءة كل ما يتم كتابته في التطبيق دون الحاجة لكسر شيفرة.

 

Slide4

 

حتى يتم تأمين الرسائل المتبادلة في تطبيق الـ WhatsApp يجب أن تتم عملية التشفير و فك التشفير داخل جهاز الآي فون، أي قبل خروج البيانات من الهاتف إلى الشبكة التي يتصل بها. في هذه الحالة، عندما نلتقط البيانات المتبادلة، فإننا لن نستطيع قراءة محتواها. حتى نتمكن من ذلك، علينا أن نجد مفتاح التشفير المستخدم أو نكسر الشيفرة بطريقة ما.

 

سأقوم لاحقاً بتجربة تطبيقات أخرى بإذن الله.

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

One thought on “اختبار تطبيق WhatsApp

  1. أوه من مدة ما زرت مدونتك عيسى =) ما شاء الله تطور أسلوبك في الكتابة. بالمناسبة أنا يوم جربت wireshark تفاجئت بسهولة عمل ال snifing والحصول على معلومات دخول اي شخص. خاصة مع ميزة البحث الي في البرنامج. من يومها ما استخدم غير HTTPS في عمليات التصفح.

أضف تعليقاً