Sigue El lado del mal en Telegram
Chema Alonso en Threads
Chema Alonso en Mastodon
Chema Alonso 3DAIS
Chema Alonso en BSKY
Chema Alonso en Linkedin
DragonJAR
8.8 Chile
Ekoparty
e-Hack MX 
AREA 51 
Comunidad Dojo Panamá 
ARPAHE SOLUTIONS 
WhatsApp Forensics: El time-line de los mensajes de "View Once "en WhatsApp Desktop (Incluso en los chats que desaparecen)
Hace ya tiempo que os hablé de cómo revisar los mensajes de seguridad de WhatsApp para poder extraer algo de información de personas y números de teléfonos de contactos que tienes en WhatsApp. Son mensajes de cambio de claves que te pueden dar información útil sobre cómo la otra persona al otro lado del número de teléfono se comporta, si cambia de terminal, etcétera. Os lo dejé en el artículo "La alerta de que cambiaste de smartphone que filtra tu WhatsApp", y hoy os quería dejar otros mensajes que también tienes que tener en cuenta, en este caso relativos a los mensaje de "View-Once" o de ver sólo una vez, o escuchar sólo una vez.
Si estás investigando para hacer un forense a un terminal en el que está instalado WhatsApp, no te vas a encontrar por defecto los mensajes que desaparecen, y tampoco los borrados ni los que se enviaron para ser consumidos una sola vez, los famosos "View-Once".
Figura 2: WhatsApp INT: OSINT en WhatsApp.
Nuevo libro de Luis Márquez en 0xWord.
Sin embargo, estos mensajes dejan un curioso rastro si la cuenta objetivo tiene abierta una sesión en WhatsApp Desktop o WhatsApp Web. Esto lo puedes ver en las Settings de la app de WhatsApp, concretamente en la sección de "Linked Devices".
Figura 3: Linked Devices en WhatsApp
En la imagen anterior se ve que hay una sesión enlazada con un macOS, lo que indica claramente que hay un WhatsApp Desktop por ahí que, si estás haciendo un análisis forense de la app de WhatsApp, probablemente te pueda dar más información.
Figura 4: Chat con mensajes que desaparecen a las 24 horas
Y es que, los mensajes de View-Once dejan un rastro en WhatsApp Desktop en forma de mensajes de advertencia que indican que no pueden ser abiertos en este cliente de la app. Esto es debido a que utilizan cifrado extremo a extremo y solo se pueden ver en la app. Así que, si el mensaje ha sido escuchado o visto, ya sea en un chat normal o en un chat que elimina los mensajes a las 24 horas. Queda un registro de cuándo exactamente se ha recibido ese mensaje, como podéis ver en la imagen siguiente.
Figura 5: Mensajes de que en una fecha y una hora se ha recibido
un mensaje de "View-Once" en ese chat concreto con esa persona.
No te permite saber qué mensaje se recibió, o si era de imagen, vídeo o audio, pero sí que hubo comunicación en una determinada fecha y a una determinada hora entre dos personas.
Así que, algo que podría parece una medida extra de seguridad, se convierte en un "leak" de privacidad que permite investigar a una persona con un análisis forense de un terminal, y si estás haciendo una investigación del WhatsApp, debes asegurarte de cuáles son los "Linked Devices" e irte a ellos, que puede que te den información jugosa.
Figura 7: Mensaje de "View-Once" enviado y eliminado por el emisor
Como curiosidad, como se puede ver en la imagen anterior, si se envía en un Chat de Auto-Borrado de mensajes un mensaje de View-Once y luego el emisor decide eliminarlo, aún queda el registro de que esto ha sucedido, como se puede ver en la imagen anterior.
Figura 8: Mensajes firmados para verificar
Y por supuesto, puedes validar quién lo envío y desde que dispositivo lo envío, verificando el "Security Code" con el que se firmó ese mensaje, así que puedes tener mucha información de qué paso, quién lo hizo, a qué hora, y desde qué terminal en concreto.
Figura 9: Security Code de quién envió el mensaje de View-Once
y borró el mensaje en un grupo de WhatsApp de mensajes con Auto-borrado
Al final es un "leak" pero si alguien está teniendo un Chat de WhatsApp con:
- Auto-borrado de mensajes
- Mensajes de View-Once
- Eliminando el mensaje antes de que se procese
Tal vez no espera que WhatsApp deje guardado por ahí este registro.
Figura 10: Verificación del Security Code del mensaje borrado
Así que, si te toca hacer un informe forense de un terminal móvil, te encuentras con WhatsApp, y en él hay "Linked Devices", yo que tú iría a buscar lo que se encuentra en esos WhatsApp Web o WhatsApp Desktop que puede que te encuentres información jugosa que resuelva el misterio.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
No hay comentarios:
Publicar un comentario