QRLJacking atau Quick Response Code Login Jacking adalah vektor serangan simple social engineering yang mampu membajak sesi (Session Hijacking) yang mempengaruhi semua aplikasi yang mengandalkan fitur “Login with QR Code” sebagai cara aman untuk login ke akun. Singkatnya, target/korban memindai QR Code si attacker.
Apa saja Requirements yang di butuhkan untuk kesuksesan QRLJacking attack ?
Serangan QRLJacking terdiri dari dua sisi:
- Server Side : Server side script diperlukan untuk melayani dan membentuk tampilan akhir untuk korban.
- Client Side : Mengkloning QR Code dan memasukanya ke halaman phishing.
Contoh adalah: Aplikasi Web WhatsApp
Pengaturan Server (Attacker Hosting):
- Upload “qrHandler.php” ke server kalian. File php ini digunakan untuk meng convert base64 QR Code string menjadi file .JPG yang valid.
- Setelah itu, nantinya dihasilkan gambar QR bernama “tmp.jpg” yang berada di folder root yang sama dengan file kalian yang akan diperbarui setiap kali file php itu dipanggil, sehingga kita dapat meletakkannya di mana saja. Misalnya: halaman WhatsApp palsu, halaman scam WhatsApp, dll.
Sekarang perbarui file “phishing.html” dengan source code phishing page kalian.
Exploitation, Client Side Setup (Attacker’s browser):
Manually:
- Buka browser Firefox.
- Tulis “about:config” di url area, klik tombol Confirmation “I’ll be careful, I promise”.
- Cari “security.csp.enable” dan ubah nilainya menjadi “false” dengan double click yang nantinya melakukan XHR Request dari domain yang berbeda.
- Instal add-on Greasemonkey (https://addons.mozilla.org/en-US/firefox/addon/greasemonkey) dan pastikan bahwa file modul “WhatsAppQRJackingModule.js” dimuat dan sudah berjalan.
- Buka “https://web.whatsapp.com” Tunggu sampai WhatsApp session dimuat. gunakan Greasemonkey WhatsApp modul untuk di Hijack.
- Kirim tautan langsung dari halaman phishing korban.
Jika Kode QR discan, secara otomatis sesi korban terkirim ke kalian.
Demo Video :
Attackig WhatsApp Web dan MITM Attacking untuk menyuntikkan WhatsApp QR Code palsu.
Beberapa Aplikasi dan Web yang Vuln terhadap serangan ini :
- Chat Applications:
WhatsApp, WeChat, Line, Weibo, QQ Instant Messaging - Mailing Services:
QQ Mail (Personal and Business Corporate), Yandex Mail - eCommerce:
Alibaba, Aliexpress, Taobao, Tmall, 1688.com, Alimama, Taobao Trips - Online Banking:
AliPay, Yandex Money, TenPay - Passport Service “Critical”:
Yandex Passport (Yandex Mail, Yandex Money, Yandex Maps, Yandex Video, dll …) - Mobile Management Software:
AirDroid - Other Services:
MyDigiPass, Zapper & Zapper WordPress Login by QR Code plugin, Trustly App, Yelophone, Alibaba Yunos