lunes, mayo 04, 2015

Cómo grabar fotos y vídeos con autodestrucción de Telegram y SnapChat sin dejar rastro

La app de mensajería instantánea Telegram tiene muchos fans por el atributo de seguridad que ha querido potenciar desde el principio, pero a pesar de eso, tiene más o menos los mismos fallos de seguridad que aplicaciones como WhtasApp, tal y como os conté en el post dedicado a las debilidades de privacidad de Telegram. No obstante, hay una característica que desde que me la contaron me parecía una de esas cosas que dan falsa sensación de seguridad.

Figura 1: Cómo grabar fotos y vídeos con autodestrucción de Telegram y SnapChat sin dejar rastro

En este caso concreto me refiero a la posibilidad que se ofrece tanto en Telegram con en SnapChat de enviar fotos y vídeos con autodestrucción por medio de chat secretos con aviso de si alguien toma una captura de pantalla.

Los chats secretos

Cuando se abre un chat secreto en Telegram se utiliza un sistema de cifrado extremo a extremo, es decir, se genera un par de claves pública y privada para cifrar la conversación. Las personas Juan y Marta, cuando abren un chat secreto en Telegram, se pasan las claves públicas, de tal forma que cuando Marta le quiere enviar un mensaje secreto a Juan lo cifra con la clave pública de Juan, lo que hace que solo Juan - que tiene la clave privada - pueda descifrarlo. Así funciona de forma resumida el cifrado asimétrico, aunque si quieres más detalles te puedes leer un buen libro de criptografía.

Figura 2: Establecimiento de un chat secreto en Telegram

En el caso de los chats cifrados de Telegram se aplica este esquema, igual que se aplica en WhatsApp desde el acuerdo con Whisper Systems y en muchos otros sistemas de mensajería como iMessage. Este sistema debería ser privado al usar cifrado extremo a extremo, pero como ya demostraron unos investigadores, si la empresa que está detrás decide no entregar las claves públicas de verdad de Juan y Marta, entonces sí que en los servidores de Telegram, WhatsApp o iMessage alguien podría acceder a esos datos, pero... eso es otra historia.

Los mensajes con autodestrucción de Telegram y Snapchat

Al estilo de los mensajes de Snapchat, del que hablaré un poco más abajo, si alguien que recibe una foto por un chat secreto de Telegram con un tiempo de vida de unos segundos decidiera hacerle una captura, en ese caso se le notificaría al emisor de la foto que el destinatario ha hecho una captura.

Figura 3: Aviso de que "Chema" ha hecho una captura de una foto con autodestrucción

Esto, entre muchas personas es una forma de que el emisor sienta una "falsa" sensación de seguridad y privacidad al pensar que la otra persona es de su confianza y la foto sólo la ha visto unos segundos. Por supuesto, en las relaciones de sexting entre adolescentes y no tan adolescentes, este tipo de sistemas es de lo más usado pero... la verdad es que no da ninguna garantía.

Figura 4: Capturas hechas en una conversación de SnapChat

Como se puede ver en la imagen de arriba, eso sucede igualmente en SnapChat, donde tanto si tu haces el captura como si la hace la otra persona - en cualquier momento - el historial de los mensajes muestra que se ha hecho esa captura.

Grabar las fotos con autodestrucción de Telegram y SnapChat sin dejar aviso

Entre los menos avezados tecnológicamente la solución más sencilla es hacerle una foto al móvil mientras que se ve la fotografía, pero para hacerlo más cómodo existen otras soluciones. Yo hice la prueba con Reflector para OS X, un software que permite duplicar la pantalla de tu iPhone en el equipo personal de trabajo, con toda la calidad que necesites. 

Figura 5: Streaming de la pantalla de vídeo de un iPhone a OS X con Reflector

Este software cuesta unos pocos dólares y me habréis visto usarlo en muchas presentaciones. Para capturar una foto en OS X con Reflector solo necesitas duplicar la pantalla por AirPlay y listo, podrás capturar la pantalla desde tu sistema operativo utilizando todas las herramientas que necesites. Por supuesto, la resolución a la que verás la imagen será a la que se vea - en este caso - en la pantalla del iPhone, por lo que será tan grande como se vea en el propio Telegram - no más -. 

Figura 6: Foto con autodestrucción en chat secreto de Telegram capturada en OS X

Este mismo truco, lo puedes utilizar en sistemas operativos Windows Phone y Android utilizando herramientas similares y, por supuesto, al emisor de la fotografía nunca le va a llegar ninguna alerta, así que puede seguir teniendo la "falsa" sensación de seguridad de que nadie ha copiado sus fotos.

Figura 7: Foto con autodestrucción de SnapChat capturada en OS X

Como se puede ver arriba, esto también vale para Snapchat, donde aunque haya autodestrucción la foto se puede capturar desde la pantalla del equipo sin que llegue ningún aviso al emisor.

Grabar los vídeos con autodestrucción de Telegram y Snapchat sin dejar aviso

Por supuesto, una vez que tienes que conectado un iPhone a un sistema operativo usando Reflector, tienes un canal de streaming que da más Frames Per Second que una película normal, así que se puede grabar vídeo de la misma forma.

Figura 8: Configuración de Reflector para streaming de vídeo

El truco para hacer esta captura de vídeo es tener una herramienta que permita grabar la pantalla para mostrar lo que allí se ve. Existen herramientas profesionales, pero tal y como se puede ver en la imagen siguiente, con un sencillo QuickTime Player para OS X se puede grabar una parte de la pantalla.

Figura 9: Grabar el vídeo que se reproduce en pantalla.

En el siguiente vídeo tenéis un ejemplo de grabación de un vídeo normal, de un vídeo enviado por Telegram y de un vídeo secreto enviado por SnapChat.


Figura 10: Demostración de cómo se pueden grabar vídeos con
QuickTime Player y Reflector de Telegram y SnapChat

En mi demo no me he preocupado por el audio, pero si quieres hacerlo aún más profesional, puedes usar un cable de audio que conecte la salida de tu smartphone a la entrada de tu equipo y grabar al mismo tiempo la pista de audio del vídeo para luego tener el montaje completo del vídeo.

Reflexión Final

La moraleja de todo esto es que una vez que el mensaje está enviado al destinatario, el dueño del endpoint podrá siempre manipular la aplicación o el entorno para poder llevarse las fotos o los vídeos que se envíen. De hecho, esto es por lo que existían las famosas aplicaciones que le permitían a una persona [¡dándole la cuenta de Snapchat a un servidor web!] grabar todas las fotos y que a la postre fueran todas públicas porque fue hackeado en el escándalo de The Snappening.

Figura 11: Información sobre "The Snappening" dada por SnapSaved.com

A día de hoy no tengo constancia de casos de sextorsión, Cyberbullying o grooming por medio de fotos con autodestrucción de Telegram o SnapChat, pero ten en cuenta que aunque la app no te diga que ha hecho una captura de pantalla o un screenshot, el destinatario ha podido grabar y conservar esa foto con total tranquilidad, así que más vale que te fíes muy mucho de la persona a la que le estás enviando esas fotos "Secretas".

Saludos Malignos!

8 comentarios:

Pumallanqui dijo...

Siempr hay maneras de hacer lo que se quiera hacer. Casi humano .

Anónimo dijo...

También mucho mas simple podemos usar cualquier app que grabe la pantalla del móvil y ya grabar los vídeos o fotos al abrirlos

Anónimo dijo...

Usas otro movil o cámara para grabar la pantalla y listo.

Una pregunta: el siguiente comando en linux (sudo netdiscover -i wlan1 -r 192.168.1.0/24) me devuelve algo como esto:
IP Mac Address
192.168.1.1 c3:c4:c5:00:00
79:x:x:x c3:c4:c5:00:00
10.x.x.x c3:c4:c5:00:00
192.168.... a partir de aqui las ip locales
Se que 1.1 es el router inalambrico,
79... mi ip publica y me imagino
que 10... es la ip privada para acceder al cable modem de ONO.
Pero no se si es normal que con netdiscover tenga acceso a la ip privada del cable modem(si es q es esa).
Gracia por el blog.

fede dijo...

Snapchat es mucho mejor que telegram aunque los terroristas usan este ultimo.

Cordelia Naismith Dumakae dijo...

En el caso de Telegram esas aplicaciones que graban la pantalla de tu móvil en Android no funcionan, en el momento en que abres el chat secreto la grabación se vuelve negra hasta que sales del mismo. Tampoco permite hacer capturas de pantalla. Esto es desde las últimas actualizaciones, antes sí se podía hacer captura y salía el mensaje como en snapchat y se podía grabar pantalla.

Cordelia Naismith Dumakae dijo...
Este comentario ha sido eliminado por el autor.
Mery dijo...

Añado otra via mucho mas sencilla. Mientras los mensajes del chat secreto tengan mas de unos segundos de vida, basta con ir a "multimedia" (pulsando sobre la barra del contacto de nuestro chat, se abre la info relacionada con el mismo y dentro de la lista está: Multimedia) ese "espacio virtual temporal" en donde se alojan los archivos recibidos mientras existan, abres la foto o el video en cuestión y tienes la opción de compartirlo: a tu nube, por whatsapp, telegram, correo electrónico, facebook, twitter, bluetooth, etc... y no le llega ningún mensaje al emisor del archivo de que lo que te mandó fue copiado, compartido o publicado en ningún sitio.
No tuve oportunidad de probar si esto funciona igualmente con los archivos cuando la autodestrucción está programada en pocos segundos... pero mañana lo probaré. Asi que... al loro.
¡¡Saludos!!

Mery dijo...

Añado otra via mucho mas sencilla. Mientras los mensajes del chat secreto tengan mas de unos segundos de vida, basta con ir a "multimedia" (pulsando sobre la barra del contacto de nuestro chat, se abre la info relacionada con el mismo y dentro de la lista está: Multimedia) ese "espacio virtual temporal" en donde se alojan los archivos recibidos mientras existan, abres la foto o el video en cuestión y tienes la opción de compartirlo: a tu nube, por whatsapp, telegram, correo electrónico, facebook, twitter, bluetooth, etc... y no le llega ningún mensaje al emisor del archivo de que lo que te mandó fue copiado, compartido o publicado en ningún sitio.
No tuve oportunidad de probar si esto funciona igualmente con los archivos cuando la autodestrucción está programada en pocos segundos... pero mañana lo probaré. Asi que... al loro.
¡¡Saludos!!

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares