有沒有想過 Login 你的 Facebook / Whatsapp 看盡所有對話及相片是一件簡單不過的事?只要你在 Office 、網吧等等,離開電腦跟朋友聊個天,倒個水,不用 20 秒你的 Whatsapp / Facebook 戶口就會被人偷走,然後那個人可以回家打開電腦登入你的帳戶慢慢開個夠。不相信 ? 真人示範給你看。
其實發現這方法的是一位香港 Programmer 阿 Gap ,他在自己的 blog 上發表了盜取 Whatsapp Web 版的方法,其後我們聯絡他問他是否用同樣方法盜取 Facebook Key , 阿 Gap 研究後指沒有問題,翌日就來我們 unwire office 示範了。
▲假設你去洗手間離開電腦一會兒。有同事想偷取你 WhatsApp 訊息的話,他可以在你電腦上的 WhatsApp 頁右鍵按「檢查元素」。
▲然後在 Console 頁輸入指定的程式碼,就可獲取你的 Web 版 WhatsApp 認證。
取得你的認證後,偷竊者可以靜待你不發覺的時機才應用你偷回來的認證,作為一條鎖匙打開你的 WhatsApp 大門,盡看內裡訊息。
▲偷竊者取得你的認證程式碼後,當有需要時就可前往 Web 版 WhatsApp 的頁面,在未登入時右鍵按檢查元素,同樣打開 Console 頁。
▲在內輸入一些程式,再插回盜取回來的一段程式碼,過程非常簡單。
▲成功的在第二部電腦,以偷取回來的認證登入 WhatsApp。他就可以任意的觀看你的 WhatsApp 訊息了。
IG、Facebook 五月起標註 AI 生成內容 盼能解決假新聞問題 Meta AI 被指無法生成異族情侶圖片 外媒:亞洲男人與白人妻子不能同時出現 加拿大四校董會聯手 控告 TikTok 等平台影響學生學習
阿 Gap 說其實還研究了 Facebook 的方法,而且發現同樣可以做到,並即場為我們作出示範,分別用了兩台電腦,右邊扮作是受害者,左邊扮作是偷竊者。
Gap 即席在開了一個 Online Coding 網頁方便兩部電腦之間的同步傳輸。之後就從 Facebook 輸入程式,索取所需要的「鎖匙」。準備充足的話,索取過程大約十秒就完成 (Copy & Paste 已準備好的程式碼,取得後再 Paste 回 Coding 網頁)。
IG、Facebook 五月起標註 AI 生成內容 盼能解決假新聞問題 Meta AI 被指無法生成異族情侶圖片 外媒:亞洲男人與白人妻子不能同時出現 加拿大四校董會聯手 控告 TikTok 等平台影響學生學習
之後在任何時間、別的地方,偷竊者都可以用這條鎖匙登入你的 Facebook 帳號而你不自覺。
Web 版 WhatsApp 同時只能容許一個用戶使用,如果一齊開的話另一邊是會被踢走的。偷竊者雖然可等待事主沒在使用時才登入使用,不過仍有被事主發現的機會。但 Facebook 就不同了,因為它可以容許你在多個裝置同時登入,所以被盜後你是不會發覺到的。如果偷竊者是從你的附近、甚至是用同一個 Wi-Fi 登入,Facebook 也不會發出警告提你。
我們請來指出這個問題的阿 Gap 上來 unwire 做個訪問。問及他何以找到這個問題,他說「其實自己都少用 WhatsApp,見佢出咗 WhatsApp Web 版 (iOS) 就開黎望吓,之後又見佢有 Keep 住 Sign in 呢個功能,咪試吓。」
IG、Facebook 五月起標註 AI 生成內容 盼能解決假新聞問題 Meta AI 被指無法生成異族情侶圖片 外媒:亞洲男人與白人妻子不能同時出現 加拿大四校董會聯手 控告 TikTok 等平台影響學生學習
Gap 在其影片上表示過,其實要做到今次的 Hacking,主要條件是用戶有用「Keep me Sign in」這個功能,即是把登入認證儲存在瀏覽器,以方便之後可自動登入、不需每次打 Password。不過這樣做就有機會令旁人從網頁上盜取到認證,而 Gap 就由 WhatsApp Web 版開始測試,而且一試就 Work。「如果做得好啲 (網頁) 就無咁快攞到。
不過 WhatsApp 佢將所有嘢儲落去 Local Storage,可以比一啲 Script 直接 Access,所以直接、極速、5 秒就做到」。Gap 補充說,如果做得好些的網站,一些緊要的資料是不會儲在 Local Storage 上,不能單靠一段 Script 提取,而需要在瀏覽器花更多時間去找。
今次示範的手法,偷竊者都是需要走去事主的電腦來進行,那如果電腦得我自己用,又或者身邊無其他人,那樣是否就絕對安全呢?Gap 在言談間就提到「如果你裝咗一啲 Chrome Extension,而佢可以撈你 Browser 資料的話,其實都一樣攞到」,他補充說「有時你上某啲網站,佢彈出黎叫你裝 (這裡指惡意程式) 其實都有機會係用呢個方法拎你個人資料。」
那一般用家不想「中招」可以怎樣做?Gap 表示這其實是 Broswer 原本存在的問題。當然如果你選擇使用無痕瀏覽、不記錄帳號的話就不會有此問題,但本身自動登入就是為了方便用戶而設。如果你選擇使用自動登入,這個問題就會存在。但此事亦都提醒我們,不要長期的使用自動登入,多點登出、在辦公室收工就登出帳號、暫離時按 Windows + L 或 Command-Shift-Option-Q 登出,就可大為減低中招風險。
關於 Gap:
「一名現於StartUp打滾土生土長嘅九十後,熱愛Open Source Software,最不爽與一成不變的井蛙談海。我的四大座佑鉻:Simple is beautiful、己所不欲 勿施於人、工欲善其事 必先利其器、一山還有一山高。」
IG、Facebook 五月起標註 AI 生成內容 盼能解決假新聞問題 Meta AI 被指無法生成異族情侶圖片 外媒:亞洲男人與白人妻子不能同時出現 加拿大四校董會聯手 控告 TikTok 等平台影響學生學習
