soltysiak.com :: Gadu-Gadu: Hej! wiem, że jesteś niewidoczny

http://soltysiak.com

..Królowa Kinga została swięta bo Bolesław był wstydliwy..

Gadu-Gadu: Hej! wiem, że jesteś niewidoczny.

Aktualizacja: nowsze wersje Gadu-Gadu mają w związku z błędami w GDI+ ustawiony limit wiadomości obrazkowych na 0b.
Aktualizacja [30-08-2005]: różne serwisy podają, że możliwość wykrycia niewidoczności dziś została usunięta na serwerach. Ta technika nadal działa. Przypominam, że Gadu-Gadu sp.zoo, wówczas sms-express sp.zoo została poinformowana o tym 24 września 2004 (!)

Inwigilator przecież nie działa, więc o co chodzi?

To czy ktoś w naszych kontaktach jest niewidoczny czy niedostępny zasadniczo nie jest (a raczej nie było) do wykrycia od kiedy poczyniono takie zmiany w serwerze Gadu-Gadu, że metoda której używał sławetny Inwigilator z pakietu PowerGG stała się bezużyteczna.

No i?

Udało mi się opracować technikę, którą mogę rozwiązać nasz problem. Tydzień luźnego hakowania libgadu, czytania dokumentacji protokołu, oglądania dumpów z ethereala i tcpdumpa i imprezowania dał efekt. Jeśli dalej Cię to interesuje, czytaj dalej.

Tak się zaczęło

Jakiś tydzień temu przeczytałem informację na jakimś serwisie o tym, że aplikację Gadu-Gadu można zdalnie zawiesić zmuszając ją do operacji, w której dokona się przepełnienie sterty, a wszystko poprzez wysłanie okresłonego pakietu do kogoś w Gadu-Gadu.

Autorzy nie ujawnili kodu, ale podali ogólny opis o co chodzi. Po lekturze kodu i dokumentacji znanej biblioteki libgadu, oraz treści protokołu Gadu-Gadu, postawiłem hipotezę, iż można jednak ujawnić czy ktoś na Gadu-Gadu jest Niewidoczny czy go po prostu nie ma. (Niedostępny)

Klienci Gadu-Gadu, którzy obsługują odbieranie obrazków w oknie wiadomości mają ustalony schemat działania:

Ciekawski: Hej Ofiaro, mam dla Ciebie obrazek: ma X bajtów i oto jego hash,
Ofiara: Wow, nie mam obrazka o tym hashu, a rozmiar pasuje do ustawień: dawaj,
Ciekawski: Proszę Cie bardzo...

To co można nadużyć tutaj to fakt, iż klient Gadu-Gadu będący w stanie niewidoczny odpowie tak jak w punkcie 2. Gdy jest niedostępny to nic nie powie, bo go nie ma.

Ok, jakie są wymagania

Osoba, której stan sprawdzamy musi mieć nas w swoich kontaktach a jej program Gadu-Gadu musi obsługiwać wiadomości obrazkowe. Zasadniczo tyczy się to przytłaczającej większości użytkowników Gadu-Gadu. Dodatkowo, musi by ć niezerowy limit na wiadomości obrazkowe.

A czy coś mogę zrobić by uniknąć wykrycia?

Należy upewnić się, że mamy ustawiony na zero limit rozmiaru wiadomości obrazkowych. Ten limit został ustawiony na 0 domyślnie bodajże od wersji 6.0 build 153, wcześniej było to 20 kB.

Dowody, dowody

Chętnych do sprawdzenia tego sposobu zapraszam do pobrania eksperymentalnego kodu, który napisałem.

solt@dns:~$ ./gadu 3253375 haslo 2757862
gadu_connect: success.
Gosciu jest online!
gadu_disconnect