Una Campaña de Smishing con SMS Spoofing usando a la Dirección General de Tráfico con la Operación Salida de Libro

La semana pasada me llegó a mi número de teléfono personal un ataque de Smishing para capturar mis datos personales y, por supuesto, mi tarjeta de crédito. El gancho, que la Dirección General de Tráfico (DGT) me había puesto una multa durante la Operación Salida de Agosto y, cumpliéndose el mes, se me acababa el tiempo para pagarla con Descuento.

Figura 1: Una Campaña de Smishing con SMS Spoofing usando

a la Dirección General de Tráfico con la Operación Salida de Libro

El mensaje me vino por SMS, como he dicho, y utilizaba técnicas de SMS Spoofing para que se colara dentro del flujo de mensajes que recibo de la DGT cuando utilizo su app, así que los atacantes prepararon bien la campaña.

Figura 2: El Smishing con el el dominio de Phishing

haciendo SMS Spoofing con el número de la DGT

Ví el mensaje desde el iPhone, sin tener mis gafas a mano y pensé... ¡porras! una multa. El SMS Spoofing, añadido a que alguna vez de eses muy raras he sufrido una "multilla" con mi Malignomóvil, hacía que esa posibilidad estuviera dentro del universo de lo posible. Pero no sólo eso, sino que cuidaron todos los detalles como manda el manual del buen Ciberestafador, como bien nos cuenta Juan Carlos Galindo en su pedazo de libro.

Figura 3: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

Si me has visto utilizar el iPhone cuando no tengo las gafas a mano, habrás visto que golpeo con mis tres deditos para hacer uso de la lupa. Sí, ver de cerca bin sin gafas no es una de mis capacidades hoy en día, así que uso las opciones de accesibilidad para aumentar el contenido de la pantalla, así que hice clic en el enlace - que veréis que está claro que es un sitio de phishing -, y entré a ver la web.

Figura 4: La web de phishing para mobile

No saltó ninguna protección de Apple Safari para iOS de sitio fraudulento, y la multa describía el hecho el día 1 de Agosto, en plena Operación Salida. Ese fin de semana yo tenía que viajar, que me incorporaba, como ya os conté, al lunes siguiente en Cloudflare, así que viajaba ese día. 

Figura 5: La web de phishing pide datos y los valida

Era fin de mes, había pasado todo el mes de Agosto y caducaba la Reducción del 50% así que decidí que mejor pagarla cuanto antes, pero como no tenía gafas a mano, copie el SMS y me lo envíe por Telegram a los Saved Messages para hacerlo desde el ordenador, a gran pantalla.

Figura 6: Y tras los datos, debes dar los datos de tu tarjeta de crédito.

Si lo haces, te va a salir caro el "descuento" de la multa.

Me puse las gafas, y confiado por todo el proceso, hice clic, y en ese momento me saltó un error de NGINX en el navegador  - Google Chrome para MacOS -, y fue cuando acabó la magia. Ahí ya me fijé en la URL, y como os podéis imaginar, me di cuenta de todo. El Cloacking que hacía ese sitio para evitar conexiones que nos fueran desde USER-Agents de móviles evitaba que se viera el sitio de Phishing desde el escritorio.

Figura 7: Dominio detectado como Phishing en Chrome

Hice las capturas, para contaros esta historia, y a día de hoy el sitio ya está caído, y bloqueado en los filtros antiphishing de Google Chrome, pero me quedé pensando en cuánta gente habrá entregado su tarjeta de crédito y sus datos a una campaña que estaba tan bien preparada. Había hecho.

• Un sitio de Phishing para mobile, con una típica URL de phishing.
• Habían hecho cloacking con el USER-Agent para evitar "curiosos" o "no provenientes del Smishing"
• Una campaña de envío masivo de SMS Smishing
• Habían utilizado SMS Spoofing para meterse en el hilo de DGT de los mensajes
• Habían enviado la campaña a finales de mes con el la urgencia del pago con descuento
• Habían puesto el motivo con algo que podría ser factible: Una multa el día 1 de Agosto.
• Habían conseguido saltar los filtros antiphishing de los navegadores. Apple Safari para iOS lo marca como caído, pero no como marcado.

En mi caso funcionó todo, a excepción de que lo que se había convertido en una ventaja para ellos - que no veía bien sin gafas y no me pude fijar en la URL en el móvil - se convirtió en una protección cuando lo intenté hacer desde el ordenador con mis gafas. 

Figura 8: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Por ponerle alguna pega a la campaña, le faltó poner un precio mas realista ya que una multa de 35€ no es ni de aparcamiento en España, y si hubieran hecho la versión web solo para links con redirect usando algún parámetro de tracking, as lo mejor hubiera sido más efectiva incluso. Pero estoy seguro de que esta campaña habrá generado más de algún "premio" para los cibercriminales que la lanzaron. Así que, no hay que relajarse nunca y hay que evitar que la vida ajetreada nos haga bajar las defensas, que por quitarnos las cosas cuanto antes, podemos saltarnos alguna comprobación. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

WhatsApp: Passkeys para hacer más cómodo el proceso de Login y reducir los SMS-OTP

Una de las características que ha introducido WhatsApp para mejorar su proceso de autenticación es la del uso de las Passkeys. No es que WhatsApp haya cambiado su forma de iniciar sesión ten tu cuenta, con el famoso SMS que se usa como canal OTP de desafío a tu número móvil, sino que se ha añadido, una vez instalado en un dispositivo, poder autenticarse mediante un sistema de clave privada / clave pública como alternativa al SMS.

Figura 1: WhatsApp: Passkeys para hacer más cómodo

el proceso de Login y reducir los SMS-OTP

Es decir, la idea es reducir el número de SMS-OTP que se envían - y que han sido tradicionalmente el punto de ataque para robar cuentas de WhatsApp -, permitiendo que el usuario pueda utilizar las Passkeys - si las tiene -, como forma cómoda y segura de autenticarse.

Figura 2: Passkeys en WhatsApp

Como podéis ver en la imagen superior del Help Center de WhatsApp, las claves se pueden utilizar opcionalmente, si se tienen, lo que hará mucho más cómodo el proceso de autenticación, ya que será como autenticarse como con cualquier otra credencial de los gestores de contraseñas que tienen Android e iPhone, por lo que se puede utilizar FaceID o la Biometría de la huella dactilar.

Figura 3: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

Es decir, para el usuario será más cómodo porque no hay que esperar que llegue el SMS OTP, no tendrá que leerlo y escribirlo, y no se producirá una transmisión del código para que pueda ser capturado por un posible atacante.  Pero si no lo tiene, no pasa nada, el usuario puede autenticarse como siempre.

Figura 4: Creación de Passkeys

Crear la Passkey es tan sencillo como podéis ver en estas capturas. Se entra en Account -> Passkeys, le damos al botón de Continuar y la Passkey es creada. Y tendremos una solución temporal de autenticación utilizando claves criptografías.

Figura 5: Libro de Cifrado de las comunicaciones digitales:
de la cifra clásica a RSA 2ª Edición de 0xWord

Una vez que pasa esto, sólo hay que almacenarla en el gestor de credenciales de tu dispositivo, lo que hace WhatsApp de manera automática. En mi caso, que tengo un iPhone, me autentico con FaceID y se queda guardada en el Password Manager de Apple.

Figura 6: Creación, almacenamiento y borrado de las Passkeys

Como se ve en la imagen anterior, se puede eliminar la Passkey, y si existe esa Passkey, se puede utilizar para iniciar sesión en cualquier dispositivo sin utilizar el SMS-OTP tradicional. 

Conclusión

Este proceso implica dos cosas a tener en cuenta que quiero recalcar para que sea fácil entender este sistema de autenticación:

1.- No sustituye el SMS-OTP como forma permanente de autenticación: Es una alternativa que puede ser utilizada, pero si has perdido las Passkeys porque has perdido el dispositivo, con recuperar la SIM puedes volver a iniciar sesión. 

2.- Si alguien tiene las Passkeys podría iniciar sesión: Así que debes, como ves en la figura 5, eliminar las Passkeys antes de cambiarte de Android a iPhone, o de cambiar de Password Manager, porque si alguien pudiera acceder a ellas, tendría acceso a tu sesión.

3.- Más info para verificar un robo de cuenta: He querido añadir este punto porque al final, si alguien te clona la SIM o consigue tu OTP, y tú tienes también el SMS-OTP haciendo un login en paralelo, pero además tienes las Passkey, puede ser que Meta use las Passkeys como elemento para determinar que estás sufriendo un ataque, así que no viene mal tenerlas. 

Por último, recalcar que, a día de hoy, el proceso de login sólo se hace cuando hay cambio de dispositivo, o un cambio drástico en el sistema operativo, por lo que ya a día de hoy hay un proceso de autenticación para mantener la seguridad de la cuenta mediante claves de dispositivo que también se guardan en el Password Manager, así que digamos que esto es una evolución que permite utilizar estas Passkeys más allá del uso actual.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Utiq Consent Hub: Cookies Publicitarias y Muros de Suscripción

Ya hemos visto muchas veces el debate de las cookies publicitarias en las páginas web de navegación en Internet. El poder controlar las cookies que hacen un perfilado de una persona hace que los anuncios sean más ajustados para el visitante de la web, y eso hace que para los anunciantes tenga más sentido anunciarse en las webs que mejor perfilan, y eso hace que los sitios webs ganen más dinero con los anuncios si son capaces de perfilar a los visitantes y tener el anuncio adecuado para cada navegante.

Figura 1: Utiq Consent Hub - Cookies Publicitarias y Muros de Suscripción

Hasta aquí todo fácil de entender. Perfilado implica Dinero. Así de sencilla es la ecuación, pero con la llegada de GDPR, muchas de las cookies dejaron de poder utilizarse para perfilar a los navegantes, porque las webs deben dar la opción de rechazar las cookies de perfilado y el consentimiento para compartir estos datos con terceros, y llegó el "Subscription Wall", es decir, acepta las cookies o suscríbete y paga.

Figura 2: Susbcription Wall 

El asunto es que las cookies no se han ganado mucho cariño por los ciudadanos de la red debido a lo difícil que ha sido poder controlarlas, saber qué hacen, y sentirse demasiado "perseguidos" por los anuncios sin poder librarse de ellas fácilmente. Así que muchos fueron los que empujaron por el mundo "Cookieless" que poco a poco está llegando.

Figura 3: Solución de Utiq en Marca.com

Una propuesta alternativa a este mundo es la que hace Utiq, una startup creada entre Orange, Vodafone, Deustche Telekom y Telefónica, donde se utilizan identificadores desde la red móvil con privacidad, que se pueden eliminar de manera sencilla a través de un gestor de consentimientos.

Figura 4: SMS con información de Utiq.

La idea es tan sencilla como que un sitio que utiliza Utiq y quiere dar las dos alternativas - Navegar Gratis o Pagar Suscripción -, puede darle al usuario la opción de ser perfilado por medio de estos identificadores de red. Los usuarios que aceptan utilizar Utiq, recibirán un SMS con información de Utiq, y la URL del Consent Hub de Utiq que es el panel en el que cuando el usuario lo desee, puede ir y eliminar el consentimiento de uso de ese identificador para ese sitio web. 

Figura 5: Consent Hub de Utiq

Al Consent Hub de Utiq  se accede desde tu conexión móvil, pero yo he accedido desde mi Mac haciendo una sesión de Internet Tethering con mi iPhone, por eso se ve la versión Web de escritorio en la imagen anterior. En la imagen siguiente se puede ver que tienes la opción de "No usar nunca Utiq" o de "Gestionar tus consentimientos" que ahora mismo está vacío. Es decir, no se ha generado ningún identificador de red de tu conexión para ningún sitio web.

Figura 6: Consent Hub de Utiq

Cuando se acepta el uso de Utiq en un sitio, por ejemplo en la web de ejemplo de marca.com, lo que tendremos es este domino en la lista de nuestros consentimientos concedidos, pero con un clic en la papelera, eliminamos este consentimiento desde ese instante en adelante.

Figura 7: Consent Hub de Utiq

De esta forma se intenta conseguir que los sitios de contenido gratuito que viven de la publicidad, puedan también garantizar al usuario que este tiene el control de sus identidades digitales y perfilado con un panel de control para todos. 

Figura 8: Consent Hub de Utiq

Si accedes desde el móvil a la URL de https://consenthub.utiq.com/ podrás acceder al panel de control delos consentimientos de Utiq que tienes en tu control.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Twitter Blue, el Segundo Factor de Autenticación con SMS, y cómo puedes configurar Latch Cloud TOTP en Twitter.

Hace ya tiempo que tenemos Twitter Blue, la suscripción de pago a Twitter que permite tener el check azul de cuenta verificada, que al principio generó tantos ataques de suplantación y phishing en un primer momento. Ahora es ya una realidad, y son muchos los que cuentan con la versión de Twitter Blue, con el check azul, y con la posibilidad de tener un Segundo Factor de Autenticación basado en SMS, algo que dentro de muy poco no va a estar disponible para nadie más.

Figura 1: Twitter Blue, el Segundo Factor de Autenticación con SMS,

y cómo puedes configurar Latch Cloud TOTP en Twitter.

Los usuarios Verificados "antiguos", como es mi caso, tendremos que dejar de utilizar el SMS como 2FA para el próximo día 19 de Marzo, según la alerta que he recibido por mi app de Twitter estos días, donde me piden que utilice una app de 2FA (como Latch).

Figura 2: Twitter 2FA por SMS cierra el 19 de Marzo de 2023

En mi caso concreto no es necesario, porque yo desde hace ya unos años utilizo Latch Cloud TOTP en Twitter como 2FA para autenticarme en la plataforma, como os conté  en un proceso detallado en el artículo del año 2019 "Cómo proteger tu cuenta de Twitter con Latch Cloud TOTP", y aunque las pantallas han cambiado un poco, sigue siendo similar.

Figura 3: Configuración de la Autenticación en dos fases en Twitter

Hay que ir a la sección de "Configuración y Soporte -> Configuración y Privacidad -> Seguridad y Acceso a tu cuenta -> Seguridad -> Autenticación en dos pasos". No es complejo llegar a este punto para comenzar a configurar el 2FA.

Figura 4:  QRCode, semilla para introducción manual y verificación de configuración

A partir de ese momento, ya podemos configurar la "App de Autenticación", que yo os recomiendo que utilicéis Latch, con su opción de Cloud TOTP. Os saldrá el QR Code en vuestra cuenta de Twitter, y desde Latch deberéis escanearlo tras pulsar la opción de Añadir servicio.

Figura 5:Añadir un Cloud TOTP en Latch para Twtter

Una vez escaneado, bastará con poner un nombre, y ya tendrás tu cuenta de Twitter totalmente configurada en Latch. 

Figura 6:Añadir un Cloud TOTP en Latch para Twtter 

El siguiente paso es verificar en Twitter el proceso poniendo un código TOTP que funcione, y quedará listo.

Figura 7: Latch Cloud TOTP en Twitter activado correctamente

El último paso más que recomendable es que hagas una copia del Código de Respaldo, que te servirá para recuperar tu cuenta en caso de que pierdas el acceso a ella o a la app de 2FA. Así que guárdalo en lugar seguro.

Figura 8: Código de Respaldo de tu cuenta de Twitter

El código de respaldo lo puedes configurar en cualquier momento, no solo cuando configures el 2FA, pero es un buen momento para generarlo y tenerlo guardado.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

macOS Hacking: Cómo automatizar el envío de iMessages con AppleScript

AppleScript es un lenguaje de programación desarrollado por Apple para automatizar tareas en macOS y en aplicaciones de Apple (y compatibles de terceros). Con AppleScript, los usuarios pueden crear scripts para automatizar tareas comunes como abrir aplicaciones, enviar correos electrónicos o modificar documentos de texto. Y también le puedes sacar partido para hacer algo de macOS Hacking.

Figura 1: macOS Hacking - Cómo automatizar el envío de iMessages con AppleScript
Imagen Dall-e 2 "happy hacker in Van Gogh style"

Lo que vamos a ver hoy difiere un poco del trabajo que hicimos con AppScrapping iMessages, donde lo que usamos es un modelo para APIficar al app de iMessages para poder utilizarla desde scripts de pentesting, como por ejemplo para saber si un número de teléfono estaba asociado a una cuenta de iMessages o no.

Figura 2: AppScrapping iMessages Spam Demo

En el ejemplo de hoy, para interactuar con las distintas partes del sistema y las aplicaciones existen los llamados diccionarios. Los diccionarios son documentos especiales que contienen información sobre la sintaxis, los comandos y los objetos de una aplicación específica. Al utilizar estos diccionarios en conjunto con el editor de scripts de AppleScript, los desarrolladores pueden obtener información detallada sobre cómo interactuar con una aplicación en particular mediante scripts.

Figura 3: Libro de macOS Hacking en 0xWord

Los diccionarios de las aplicaciones son una herramienta muy valiosa para los desarrolladores ya que les proporciona información sobre los comandos y objetos disponibles para una aplicación específica. Esto es especialmente útil para aquellos que no están familiarizados con la estructura interna de una aplicación o que buscan documentación detallada sobre cómo utilizar una aplicación con AppleScript.

Figura 4: Algunos diccionarios posibles en las aplicaciones instaladas en macOS

Los diccionarios de aplicaciones están compuestos por cuatro elementos principales: comandos, clases, propiedades y elementos.

• Los comandos: son acciones que se pueden realizar en una aplicación, como abrir una ventana o enviar un mensaje. Los comandos (se indican con una C dentro de un círculo azul) se pueden enviar a una aplicación mediante la sintaxis de "tell" de AppleScript.

• Las clases: (se representan con una C dentro de un cuadrado morado) son tipos de objetos en una aplicación, como una ventana o un mensaje. Las clases proporcionan información sobre los objetos con los que se puede trabajar y las propiedades y comandos disponibles para esos objetos.

• Las propiedades: (aparecen como una P dentro de un cuadrado morado) son características o valores de un objeto, como el título de una ventana o el contenido de un mensaje. Las propiedades se pueden leer y, en algunos casos, modificar.

• Los elementos: (una E dentro de un cuadrado amarillo) son objetos individuales dentro de una clase, como una ventana específica o un mensaje específico. Los elementos se pueden seleccionar y trabajar mediante AppleScript.

En definitiva, los diccionarios, junto con el editor de scripts de AppleScript y otros diccionarios del sistema, hacen que sea fácil automatizar tareas y trabajar con aplicaciones en macOS.

Automatización de envío de iMessages con AppleScript

El diccionario de la aplicación de Mensajes de Apple para enviar iMessages proporciona información sobre la sintaxis, los comandos y los objetos disponibles para trabajar con la aplicación de Mensajes en AppleScript. Con este diccionario, los desarrolladores pueden automatizar tareas como enviar y recibir mensajes, gestionar chats y contactos, y realizar otras acciones en la aplicación de Mensajes.

Figura 5: Diccionario de la aplicación iMessage (que se usa también en iOS)

Para automatizar el envío de un mensaje a un usuario en particular con AppleScript, se podrá usar el comando "send" del objeto "message" del diccionario de la aplicación de Mensajes. El código sería algo similar a esto:

set messageBody to "Hola, ¿cómo estás?"
set recipient to "+1234567890"

tell application "Messages"
    set theBuddy to buddy recipient
    send messageBody to theBuddy
end tell

En este ejemplo, se establece el texto del mensaje como "Hola, ¿cómo estás?" y el destinatario como un número de teléfono (también podría ser una cuenta de email registrada). Luego, el script utiliza el comando "tell" para especificar que se está trabajando con la aplicación de Mensajes. Dentro del bloque "tell", se establece una variable para el destinatario del mensaje utilizando el comando "buddy", y, por último, se utiliza el comando "send" para enviar el mensaje.

Figura 6: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Hay que tener en cuenta que para enviar mensajes mediante este método es necesario que en el dispositivo se encuentre configurado el servicio de iMessage y se haya iniciado sesión en la cuenta de iMessage, ademas si el usuario a quien quieres mandar el mensaje no tiene configurado iMessage o no tiene una conexión activa no podrás mandarle el mensaje a menos que uses un método diferente, por ejemplo, SMS.

Integración con Python

Como ocurre con otros muchos proyectos, es posible trabajar conjuntamente con AppleScripts y Python. Para ello existen librerías como py-applescript o applescript.py que ayudan a realizar esta integración de manera sencilla. El siguiente ejemplo muestra el mismo código anterior pero adaptado a Python:

Figura 7: Código en Python para usar AppleScript en iMessages

Antes de su ejecución se debe instalar la librería applescript.py haciendo uso del comando pip: 

• pip install applescript.

La variable r almacena el resultado de la ejecución, pudiendo acceder a r.code para obtener el código de salida (0 si se ha ejecutado bien), r.out para obtener el texto de salida (si lo hubiera, por ejemplo, al utilizar un AppleScript contra la terminal y lanzar un comando que muestre salida por pantalla), o r.error para obtener un mensaje de error en caso de que se produzca. Como puede verse, es bastante sencilla la integración con Python aunque esto no quita que sea necesario saber como se construyen los AppleScripts.

Figura 8: Libro de Python para Pentesters 2ª Edición en 0xWord

por Daniel Echeverri Montoya a.k.a. Adastra

En definitiva, en macOS hay distintas formas para automatizar acciones, como Automator, los nuevos Atajos del sistema o los mencionados AppleScripts. Es cierto que para poder escribir AppleScripts hay que tener un mayor conocimiento técnico, así como conocer el lenguaje, la sintaxis y el uso de AppleScripts, pero también permite realizar acciones más complejas como la interacción con partes del sistema, aplicaciones nativas y aplicaciones de terceros compatibles.

Saludos,  

Autor: Álvaro Núñez-Romero, investigador en el equipo de Ideas Locas. Autor del libro "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun" y del VBOOK de "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun"

Contactar con Álvaro Núñez-Romero

AppScrAPIng iMessage: Lanzando Spam-Malware a iPhone y MacOS

Como sabéis, durante este año hemos estado jugando con el (Web)ScrAPIng & Weaponizing de WhatsApp parar poder hacer todo tipo de cosas, incluidas las que tienen que ver con OSINT u APTs, que publicamos en la charla de WhatsApp Intelligence (WhatsINT) no hace mucho. Pero no solo se puede hacer con WhatsApp, y como somos unos amantes del Hacking de iPhone, queríamos hacer el mismo trabajo con iMessage.

Figura 1: AppScrAPIng iMessage: Lanzando Spam-Malware a iPhone y MacOS 

En este caso no se trataba de hacer un WebScraping Client-Side, porque no teníamos cliente Web de iMessage, así que, igual que hicimos con WhatsApp, nos planteamos hacer un AppScapping de iMessage, y luego convertir las funciones en APIs que pudieran ser consumidas por scripts para hacer hacking de iPhone, iPad o MacOS (MacOS Hacking),  aprovechando que iMessage se consume en todas esas plataformas de Apple.

Figura 2: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Para ello, lo primero que queríamos era añadir la función de saber si un número de teléfono está asociado a una cuenta de iMessage, y así poder meterlo dentro de nuestra herramienta de OSINT de Dirty Business Card, que busca información de nombres, cuentas, direcciones de e-mail y números de teléfono de personas a partir de la información que hay en una tarjeta de visita.

Figura 3: Dirty Business Card

Lo siguiente, como prueba de concepto rápido, era AppScrAPIficar la función de enviar mensajes desde una cuenta de iMessage asociada a nuestra API a un número concreto o a una lisa de números de teléfono. La gracia está en que, si ya sabemos que tiene asociado iMessage, se podría componer un mensaje más complejo. Eso sí, utilizando las opciones de la App, y de nuevo ScrAPIficadas.

Figura 4: Libros de Python para Pentesters y Hacking con Python
de Daniel Echeverri publicados en 0xWord.

Para hacer este trabajo, el equipo de Ideas Locas utilizó el cliente de iMessages en MacOS 12.5, nuestro querido Python 3.10 con la librería PyAutoGUI que permite controlar el ratón y el teclado, lo que nos serviría para automatizar, como si fuera un Test-Monkey las funciones que queríamos AppScrAPIficar. 

Figura 5: El funcionamiento simple a automatizar

Para saber si un número de teléfono tiene asociado iMessage, basta con componer un nuevo mensaje en el cliente de iMessage de MacOS 12.5, y dejar que el cliente haga la verificación por sí mismo y nos de el el color resultante. Mientras que está el icono del aspa, es que aún no se ha ejecutado la verificación, así que no hay respuesta concluyente.

Figura 6: Cliente en MacOS 12.5 consultando si el teléfono tiene iMessage

Una vez desaparece el icono del aspa, en el cliente de iMessage es bastante fácil descubrir si un usuario tiene o no asociado iMessage. En cada cliente se hace de una forma diferente, pero en el de MacOS es tan sencillo como que si el usuario tiene asociado iMessage, el fondo se pinta de color azul, mientras que si no lo tiene asociado, lo pinta de color rosadito.

Figura 7: Número de teléfono asociado a iMessage

Lo curioso de iMessage es que, Apple, saltándose todos los estándares de la GSMA, cuando un destinatario de un mensaje no tiene iMessage, hace una transición a SMS, cuando el el estándar que la GSMA ha pedido a todos los teléfonos móviles del mundo es RCS, pero... Apple y los estándares no ha sido precisamente su mejor asignatura.

Figura 8: Número de teléfono NO asociado a iMessage

Saber si un número de teléfono tiene asociado iMessage, RCS o simplemente un SMS, es una buena opción también para los servicios de comunicación o marketing, que pueden elegir qué formato es el más adecuado para cada uno de sus clientes.

Figura 9: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

En nuestro caso, el objetivo era simplemente poner API a un servicio que no lo tiene, mediante un proceso de AppScrAPIng. Y como punto final, automatizar el envío de una lista de mensajes a una lista de números, siguiente una lógica bastante sencilla. Si tiene iMessage le enviamos el mensaje. Listo.

Figura 10: Herramienta de Spam-APTs para iMessage

Para eso, creamos una herramienta muy sencilla que recibe un fichero con una lista de números de teléfono y un fichero con un mensaje a enviar. Se lanza, y el script en Python hace todo el trabajo que tiene que realizar.  

Figura 11: PoC de enviar "links malignos" por Spam-Imessage

El resultado es que, al final, como podéis ver en el vídeo, los mensajes se van enviando cuando el número  de teléfono tiene asociado el servicio de iMessages en Apple.  Aunque va más despacio, al igual que como los SMS, o como los RCS, se puede enviar Spam-Phishing, Spam-Malware, Spam-Exploits, etcétera. Y se pueden crear mensajes muy bonitos con iMessage, como veremos más adelante en otro artículo.

Figura 12: AppScrapping iMessages Spam Demo

Apple, para luchar contra esto, le permite a los usuarios tres opciones de seguridad, que debes conocer si eres usuario de iPhone, o iMessage en iPad o MacOS. Son las siguientes:

• Bloquear un número de teléfono: Si alguien te está enviando Spam, malware o mensajes molestos por iMessages, cuando bloqueas el número, dejará de poder comunicarse contigo.

• Bloquear iMessages para NO contactos: Esto permite que solo te puedan enviar iMessage usuarios que estén en tu lista de contactos de iPhone.

Figura 13: Solo iMessage para contactos

• Reportar un número como Spam: Igual que en RCS o en los servicios de Spam, puedes reportar que un número de teléfono ha estado enviado Spam, y los equipos de seguridad  de Apple lo revisarán. Nota, en cada versión de iOS se hace de una manera distinta.

En siguientes artículos os publicaremos más cosas curiosas que se pueden hacer con iMessage en Apple haciendo AppScrAPIficación. Además, puedes hacer algo similar a esto utilizando AppleScripts con iMessages.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Figura 14: Contactar con Chema Alonso