La historia de los metadatos en el mensaje del pasajero del avión perdido de Malaysia Airlines 370 que vino en iPhone5

No sé a cuántos de vosotros os ha llegado la historia de un supuesto mensaje enviado por un pasajero del vuelo de Malaysia Airlines 370, que como la mayoría seguro que sabéis, lleva desaparecido desde el día 7/8 de Marzo de 2014 - dependiendo de la franja horaria en la que se cuente -, pero hoy quería comentar este asunto debido a ruido que ha generado en Internet.

Figura 1: El avión desaparecido fotografiado en 2011. Puedes saber más de sus vuelos así.

El vuelo, como sabéis, desapareció hace ya casi un mes, y desde entonces han circulado todo tipo de especulaciones e hipótesis, todas aún sin confirmar. Como se ha publicado en todos los medios de comunicación se ha intentando encontrar restos en el océano para confirmar la hipótesis de que fuera un accidente, pero los pedazos que han aparecido no han resultado ser del avión en ningún caso. Por otro lado, la teoría del secuestro también cobró mucha fuerza con el conocimiento de que los miembros de la tripulación apagaron las señales del avión de forma consciente y cambiaron de ruta, pero tampoco se ha podido confirmar nada.

Lo que más alenta ambas teorías es que la caja negra del avión no ha aparecido por ningún sitio, lo que significa que o bien el avión está accidentado y la caja está una sima oceánica tan al fondo que es imposible conectar con ella, o alguien conscientemente ha desconectado y bloqueado todas las señales de la misma. Elige la tuya según lo que se conoce hasta el momento.

El asunto del mensaje y la fotografía en negro con metadatos

Uno de los periodistas que cubrió esta noticia desde el principio, recibió un mensaje con una fotografía que decía supuestamente había sido enviado por un pasajero de ese vuelo llamado Philip Wood, un técnico de la compañía IBM. El mensaje, supuestamente, dice traducido algo como: 

"Estoy detenido por personal militar desconocido después de que el vuelo en el que viajaba fuera secuestrado.Trabajo para IBM y logré esconder mi teléfono celular durante el secuestro. Me han separado del resto de los pasajeros, y estoy en una celda oscura. Mi nombre es Philip Wood. Creo que estoy drogado.No puedo pensar con claridad".

Y viene acompañado por esta fotografía negra que os dejo aquí enlazada para que podáis tenerla siempre disponible. Una foto negra.

Figura 2: Fotografía que acompaña al mensaje en tamaño original

La foto negra no muestra nada, pero si se miran los metadatos de la misma se ve que en la información EXIF aparece que ha sido tomada desde un iPhone 5, y trae las coordenadas de una isla con una base militar norte-americana en mitad del Océano Índico.

Figura 3: Metadatos de la foto con RegEx

Los metadatos EXIF se utilizan en servicios de recuperación de cámaras fotográficas digitales robadas, como Camera Finder y entre otras cosas se hace así por la posibilidad de encontrar dónde está una determinada cámara por su ubicación GPS. Como se puede ver en la ubicación que sale en el mapa, la precisión en este caso es muy alta, y no se queda solo en la isla, sino que acierta con un barracón en concreto, lo que podría significar el lugar donde podría llegar a estar encarcelado esta persona.

Figura 4: La ubicación en la isla de Diego García

Los amantes de la teoría de la conspiración han visto esto como una prueba más que fehaciente de que el gobierno de los USA estaba detrás de todo esta operación, pero... esto huele mal por todas partes. Vamos a verlo en detalle.

Los datos EXIF son editables

La cantidad de herramientas que editan estos valores es alto. Para todas las plataformas, y con posibilidades mútliples. Algunas con entornos gráficos tan cómodos como que te muestran el mapa para que selecciones en él qué coordenadas GPS quieres poner.

Figura 5: Herramienta de edición de metadatos EXIF con mapas GPS

¿Está al alcance de cualquiera? Pues de casi cualquiera, pero es que además a este periodista al que le enviaron el mensaje le hackearon la web unos días después, así que si ha sido un enemigo, desde luego sabía algo de hacking y por supuesto tendría los conocimientos necesarios para editar unos metadatos.

Las coordenadas GPS de un iPhone 5

Si has usado GPS, sabrás que si no tienes activada la red WiFi la precisión del GPS no es tan buena. Es un GPS asistido, y por lo tanto la conexión WiFi debe estar activa y cerca debe haber redes WiFi conocidas por Apple para mejorar la precisión. 

Recordad que Apple envía las redes WiFi a las que se conecta el dispositivo y la lista de redes WiFi que ve cada dispositivo iPhone para poder ubicar con mejor precisión en el mundo GPS, lo que generó gran controversia en el mundo de la seguridad.

Figura 6: iSniff captura las redes WiFi que envían los iPhone para mejorar el GPS

Para poder conseguir esa precisión, debería haber muchas redes WiFi cerca, y Apple las debería tener catalogadas previamente. Esto no sería demasiado raro, ya que iPhone está aprobado por el ejercito de los USA, así que puede ser que los soldados de la base militar contase con soldados armados con iPhone.

Otras cosas que suena raras

- El iPhone 5 escondido: Me suena un poco raro que alguien, en una operación así, haya podido esconder un terminal iPhone 5 sin que lo localicen, ya que deberían ser muy torpes los soldados de la base de alta seguridad. 

- La foto negra: Lo de la foto negra es un detalle curioso, lo que algunos significa que está en una sala oscura, pero... el iPhone tiene linterna y flash, así que si hubiera querido hacer una foto hubiera podido hacerlo. Algunos dicen que no querría dar la alarma usándolo. Decides tú lo que creer. 

- El tamaño de la foto: Si tienes un iPhone 5 sabrás que los tamaños de las fotos son grandes, y que puedes elegir tamaños pequeños, pero este tamaño es muy pequeño para ser la pantalla de un iPhone 5. ¿La habrá recortado después de hacer la foto?

El gancho

Lo que más me llamó la atención a mí es que unos 10 días antes, la novia de este pasajero desaparecido concedió varias entrevistas en Los Ángeles Times y en ABC News en las que dejaba claro que ella creía que el avión había sido secuestrado y que su novio seguía vivo.  Si alguien hubiera visto esta entrevista y tuviera ganas de colársela al periodista que dio la notica, hubiera sido un gancho perfecto. No hay mejor creyente que quien quiere creer.

Los metadatos de un iPhone 4S se la jugaron en el pasado a John McAffe que acabó siendo localizado por la información GPS almacenada en las datos EXIF de una foto, pero en este caso parece que las fuentes oficiales no han hecho demasiado caso a esta información, y yo personalmente creo que ha sido una broma de mal gusto contra alguien que hace mucho daño a sus familiares. No obstante, hay que meterlo dentro de la lista de ejemplos en los que los metadatos han sido importantes para un caso.

Saludos Malignos!

Stolen Camera Finder: Un buscador de cámaras digitales robadas usando metadatos EXIF en fotografías de Internet

Las mañanas de todos mis días, salvo cuando estoy de viaje, suelen ser más o menos similares. Publico los posts, me conecto unos minutos a las redes sociales y leo los RSS. Los domingos hay menos posts que leer, pero siempre tengo las noticias de los Enlaces de la SECmana de Security By Default que me trae alguna sorpresa. Este domingo me trajo Stolen Camera Finder, un servicio para descubrir a los ladrones de cámaras digitales por medio de los metadatos que llevan las fotografías tomadas por estas cámaras y acaban publicadas en Internet, ya sea en Twitter, Facebook, Instagram, Pinterest, Flickr o cualquier otra red social.

Figura 1: Metadatos de una fotografía en Flickr

Las fotografías digitales tienen el formato EXIF para guardar metainformación de estas fotos, y entre otras cosas guardan la marca, el modelo y el número de serie de la foto con la que se tomó. Si vas a Flickr y seleccionas cualquier fotografía, es fácil ver toda esta información puesta en la web. Entre esos campos EXIF se encuentra el número de serie del dispositivo, que puede venir identificado de diferentes formas.

Figura 2: Número de serie y Modelo en los metadatos EXIF

El servicio Stolen Camera Finder trata de encontrar fotos tomadas por tu cámara en otras ubicaciones de Internet, así que puedes arrastrar una fotografía al buscador, o poner el número de serie manualmente. En la versión gratuita permite buscar por los campos de número de serie, pero en la versión PRO se pueden encontrar las cámaras por campos más específicos, como el número de serie de las lentes o los valores personalizados en Copyright o Creator.

Figura 3: Parámetros en los que busca el servicio

En el caso de la foto que he subido de Flickr no ha sido capaz de encontrar ninguna cámara, pero es que he intentado encontrar el números de serie buscando en Google sobre los metadatos de las fotografías publicadas en Flickr y no ha sido posible. Raro, porque el robots.txt no prohibe estas rutas. 

Figura 4: Probando por el número de serie de la foto de Flickr

Aunque yo no haya tenido suerte, la verdad es que si te han robado una cámara o un teléfono deberías darle una oportunidad. Stolen Camera Finder está indexando metadatos de fotografías por Internet, permitiendo encontrar muchas cámaras robadas, como puedes ver en el foro, y aquí un periodista cuenta su caso en The Sydney Morning Herald. Pillar a un ladrón por los metadatos de tu cámara es una pasada y merece que los ladrones acaben el Hall of Shame de ladrones en modo EPIC Fail, y contar con esto como un ejemplo más de la importancia de los metadatos.

Saludos Malignos!