martes, agosto 13, 2013

Una tarde de e-mulero: Parte 2 {Mis amig@s de Apple}

De los últimos libros en los que he participado, el de Hacking iOS: iPhone & iPad ha sido de los que más he disfrutado, no sólo por la cantidad de gente que hemos trabajado en él, sino porque de verdad que he aprendido muchas cosas. En uno de los capítulos se habla de cómo sacar petróleo de los backups de un sistema operativo iOS {iPhone o iPad}, y de cómo - por defecto - estos backups no están cifrados por Apple iTunes. De hecho, Metasploit tiene módulos especiales para ellos.

Si se da el caso de que un usuario ha compartido todo el disco duro de su equipo en e-mule, y da la casualidad de que ha hecho un backup de iPhone o iPad en el sistema, podremos entonces encontrar los datos de las aplicaciones del terminal dentro de la red P2P. ¿Será eso posible?

Lo primero que probé fue ir a buscar los ficheros de configuración del backup, comenzando por el que guarda la información del IMEI del terminal: status.plist. Y vaya... sí que había alguno. He de decir que estuve realizando las búsquedas de estos ficheros de manera continua a intervalos, ya que aparecían y desaparecían como el río Guadiana, pero al final aparecían.

Figura 1: un fichero status.plist de un terminal iOS

Como se ve en la imagen siguiente, podría ser que el backup estuviera cifrado, pero además de que esta no es la opción por defecto, esto no afecta al nombre de los ficheros a la hora de buscarlos. En caso de que estuvieran cifrados, habría que conseguir descargar también el fichero Manifest.plist asociado a ese backup - que se encuentra en el mismo directorio del backup, y luego sacar la clave de descifrado con IGPRS o con ElcomSoft Phone Password Breaker.

Figura 2: Opción de cifrar el backup de iOS en Apple iTunes. No por defecto.

Lo siguiente fue buscar alguna base de datos de las apps de los terminales iPhone. Para ello sólo hay que saber cómo se construye el nombre "ofuscado" de los ficheros en el backup, que al final depende del dominio al que pertenece el fichero dentro del sistema y la ruta y nombre del mismo, al que se le aplica una función de hashing SHA1 - en el libro se explica en detalle -.

Baste decir para entender la prueba, que cd6702cea29fe89cf280a76794405adb17f9a0ee corresponde con el nombre del fichero AddressBookImages.Sqlitedb donde se almacenan las fotos de la agenda de contactos de un terminal iPhone/iPad o que 3d0d7e5fb2ce288813306e4d4636395e047a3d28 corresponde a la base de datos de mensajes sms.db. Para encontrar entonces estos datos, es suficiente con buscar los nombres de esos ficheros... y de vez en cuando van apareciendo en uno u otro equipo de la red P2P, lo que significa que hay un nuevo backup disponible en la red.

Figura 3: Un AddressBookImage.Sqlitedb de 64 Kb

Figura 4: Un AddressBookImage.Sqlitedb de 2.05 MB

Por supuesto, para rizar el rizo, y espiar WhatsApp remotamente, lo más fácil es buscar la base de datos de un WhatsApp en el backup de Apple iTunes, para lo que habría que buscar el fichero 1b6b187a1b60b9ae8b720c79e2c67f472bab09c0.

El objetivo era descargarse el fichero, y analizarlo con Recover Messages...pero no tuve suerte...todavía. Sin embargo, me llamó la atención la cantidad de gente que almacena sus conversaciones de WhatsApp en formato de fichero de texto, permitiendo que se puedan leer estas conversaciones.

Figura 5: Conversación de dos meses en WhatsApp publicada en e-mule.

E incluso, las bases de datos de iChat en los equipos Mac OS X, que se almacenan en formatos .plist, lo que permitiría leer las conversaciones que se hayan almacenado en el equipo.

Figura 6: ficheros de iChat en Mac OS X

Durante el resto de la tarde me dediqué a buscar cosas como ficheros .DS_Store que me permitieran ver el contenido de las carpetas compartidas de los Mac OS X como si hubiera listados de ficheros, bases de datos de contraseñas keychain o las binarycookies que podrían ser utilizadas para robar sesiones en servicios de Internet remotamente, tal y como se hace con Facebook o con Linkedin.

Figura 7: Cookies en formato binarycookies

Es decir, que muchos usuarios se han pasado a Mac OS X pensando que iban a estar seguros sólo por eso, y resulta que tienen los mismos malos hábitos que tenían en Windows, como compartir sus discos duros por AFP o compartiendo todo su disco duro por e-mule. En fin.

Saludos Malignos!

**************************************************************************************
Una tarde de e-mulero: Parte 1
Una tarde de e-mulero: Parte 2 {Mis amig@s de Apple}
**************************************************************************************

1 comentario:

Anónimo dijo...

Hola me sale una cosa que se llama SQLite, ¿que es eso?

Entradas populares