İZLENİYORSUNUZ

Canberk  Bolat    -­‐    Barış  Vidin  CYPSEC  ‘15  15  APR  2015  

 

     

Biz  kimiz    

Canberk  Bolat    §  Troublemaker  @  Symturk    

§  Pentest,  Fuzzing,  Reverse  Engineering  

§  Blogger/Writer  -­‐  hHp://cbolat.blogspot.com    

§  Contact  

§  @cnbrkbolat  

§  Canberk_bolat@symturk.com  

§  canberk.bolat@gmail.com  

Barış  Vidin  §  Troublemaker  @  Symturk    

§  ApplicaRon  Load  TesRng,  Fuzzing  

§  Contact  

§  @barisvidin  

§  baris_vidin@symturk.com  

§  barisvidin@gmail.com  

Biz  kimiz    

İzleniyorsunuz  

www.theguardian.com    

Metadata  

Metadata  

İZLER  

•  İnterneHe  izler  bırakıyoruz  – Fotoğraf  paylaşımları  – Yer  bildirimleri  – Durum  güncellemeleri  – Beğeniler  – Hobiler/Zevkler  – Ruhsal/Duygusal  durumlar  

Mahremiyet  İhlalleri  

•  Çoğu  zaman  atladığımız  bir  konu;  – Nerede  yemek  yediğimiz  biliniyor  – Sevdiğimiz  yemekler  biliniyor  – Gideceğimiz  konser  – Sık  görüştüğümüz  arkadaşlarımız  –  İzlemeyi  düşündüğümüz  filmler  – Favori  mekanlarımız  – Günlük  ruRnlerimiz  – …  

InterneHe  1  Dakika  

InterneHe  1  Dakika  

•  Milyarlarca  kişi  işlem  gerçekleşRriyor  •  TB’larca  veri  işleniyor  •  Yeni  uygulamalar/kullanıcılar  bu  trafiğe  dahil  oluyor  

•  NSA,  GCHQ  gibi  servisler  bu  verileri  işliyor!  

Mahremiyet  İhlalleri  

•  Bilerek  ve  isteyerek  yapılan  ihlaller  – Yer  bildirimi  vb  paylaşımlar  – Lokasyon  servisi  açık  bir  şekilde  gezmek  

•  Bilmeden  yapılan  mahremiyet  ihlalleri  – Çekilen  fotoğraflardaki  EXIF  metadata  bilgisi  – Akğınız  tweet’te  lokasyon  bilgisi  

•  Her  iki  kategoriye  de  girmeyen  durumlar(!?)  – There  is  no  patch  for  human  stupidity  

Paylaşım  Çılgınlığı  

Paylaşım  Çılgınlığı  

Biz  ne  yapok?  

Canberk                                                  VS                                                      Barış    

SO-­‐INT  

•  Sosyal  Medya  plaqormlarının  ifşa  erği  bilgileri  topluyor  

•  Tek  bir  kişi  hakkında  bilgi  toplamak  yerine  toplu  olarak  genel  kitle  hakkında  bilgi  toplama  moRvasyonu  ile  oluşturuldu  

•  Bilinen  uygulama  ve  özellikler  kullanılarak  gelişRrildi  

•  İnterneHe  gerçekten  mahremiyet  mümkün  mü?  

SO-­‐INT  

•  3  Ana  modülden  oluşuyor  – Connector  

•  Facebook,  Instagram,  TwiHer,  Foursquare,  Instachat  vs  •  Toplu  kişi  bilgisine  erişme  ve  veri  ayıklama  

– Analyzer  •  Toplanan  veriyi  anlamlandırıyor  

– Core  •  Veri  toplama,  depolama  ve  süreç  yöneRmi  

SO-­‐INT  Architecture  

SO-­‐INT  

•  GelişRrme  sırasında  yaşanan  zorluklar  – Uygulama/Servis  bazlı  zorluklar  

•  Yaşadığımız  limitasyonlar  •  Uygulama  bazlı  önlemler  

– Kaynak  tükeRmi  •  Çok  fazla  sunucu,  depolama  alanı,  bant  genişliği  ve  sosyal  medya  hesabı  

TwiHer  Connector  

•  Lokasyon  Bilgisi  •  Eğer  eşleşRrilmiş  ise  Swarm/Foursquare  yer  bildirimleri  –  Anlık  tweet’lerde,  lokasyon  bazlı  olarak  “swarmapp.com”  araması  yapmak  yeterli  

–  Doğum  gününde  nerde  olduğunu  biliyoruz!  –  Ne  zaman  doğduğunu  da!  –  Kiminle  kutladığını  da!  

Facebook  Connector  

•  Kişisel  zevkler/hobiler  •  Yer  bildirimleri  •  Diğer  bağlı  hesaplardan  paylaşımlar  •  Telefon  numarası  

Facebook  Connector  

•  Telefon  numarası  – Facebook  üzerinde  telefon  numarası  ile  arama  yapmak  mümkün  (feature!)  

– Gizlilik  ayarlarınıza  dikkat  etmediyseniz  başkaları  sizi  telefon  numaranız  ile  bulabilir  

– Ya  birileri  tüm  GSM  numara  aralığını  sorgularsa?  •  +90-­‐(5NN)-­‐NNN-­‐NNNN  •  5NN=532    ==>    9~  milyon  numara  olasılığı  

Facebook  Connector  

•  Ne  tür  bir  veri  elde  ediliyor?  – Telefon  numarası  FB’da  kime  kayıtlı  – Kayıtlı  kişinin;  

•  Ad  •  Soyad  •  Temel  Bilgiler  (Yaş,  Doğum  günü,  iş,  eğiRm)  •  Profil  Fotoğra~  

– Sahte  FB  hesaplarının  gerçek  telefon  numaraları  ile  eşleşRrilmesi  

InstaChat  Connector  

•  Instagram  (IG)  tabanlı  chat  uygulaması  •  Lokasyon  servisi  kullanıyor  •  Yakınınızdaki  IG/IC  kullanıcılarını  topluyor  •  Bir  IC  kullanıcısına  ait  erişilebilen  veriler  –  IG  profil  bilgileri  – Lokasyon  bilgisi  (Kısmi  anlık)  – Çevrimiçi  bilgisi  – Diğer  sosyal  medya  hesaplarına  bağlano  

InstaChat  Connector  

•  Limitasyon  problemi  –  Instachat  

•  Belirli  sayıda  online/yakın  kullanıcı  •  Yapılan  istekler  encrypted  •  Lokasyon’a  müdahele  

IC  EncrypRon  Key  •  APK  analizi  •  DEX    -­‐  -­‐  -­‐  >  JAR  •  EncrypRon  key    •  Tüm  istekler  decrypt  edilebildi  J  

IC  EncrypRon  Key  com/futurebits/instamessage/free/b/e.java  

IC  EncrypRon  Key  com/futurebits/instme/EncryptLoad.java  

IC  EncrypRon  Key  •  lib/armeabi/libinstme.so  •  Reversed  in  IDA  Pro  •  Export  funcRon  getAESKey  

IC  EncrypRon  Key  •  aInstaihs_p5sag  değişkeni  –  16  byte  uzunluk  –  KEY?  

 

IC  EncrypRon  Key  •  AES-­‐128-­‐ECB  Mode  DecrypRon  

 

IC  EncrypRon  Key  

Facebook  Connector  

•  Limitasyonlar  – Facebook  numara  sorgulama  limiR  

•  Tek  account  ile  200~  numara  sorgulayabilme  •  iOS  endpoint’i  ile  bunu  500~  çıkartabildik  •  Dağıok  sistem  

Facebook  Connector  

•  Facebook  Web  – Belirli  bir  sürede  peş  peşe  200~  numara  sorgusu  

Facebook  Connector  

•  Facebook  for  iOS  – /method/ubersearch.get  – query=TelefonNumarası  – Limitasyon  daha  iyi  (500~  sorgulama)  

Facebook  Connector  

•  1  Agent  à  4  Account  – 60  saniye  à  10  sorgu  – 60  dakika  à  600  sorgu  – 1  gün  à  14.400  sorgu  – 3  ay  à  1.296.000  sorgu    

•  20  Agent  à  80  Account  – 3  ay  à  25.920.000  sorgu  – Bir  GSM’e  ait  yaklaşık  3  adet  numara  aralığı  

Sonuç  

•  Instachat  – HTTP  Trafik  – SSL  Pinning  yok  – Embedded  EncrypRon  Key  

•  Facebook  for  iOS  – Farklı  Arama  Endpoint  –  İsRsmara  açık  özellikler  (FB  Account-­‐>Tel  No)  – HTTP  Trafik  

Sonuç  

•  Sadece  sosyal  medya  hesapları  ile  bir  kişiye  ait  çok  detaylı  bilgiler  elde  edilebiliyor  

•  İlgili  plaqormlar  toplu  olarak  insanlar  hakkında  bilgiler  toplanmasına  olanak  sağlıyor  

•  Lokasyon  bazlı  uygulamalar  gerekli  önlemler  alınmadığında  takip  edilmenize  olanak  sağlıyor  

TEŞEKKÜR  EDERİZ