Sabemos que existen muchos métodos para
espiar WhatsApp, aunque semanas atrás salió a la luz el
método con el que WhatsApp para Android cifra y descifra las bases de datos
de la aplicación. Conseguir estas bases de datos en
Android es
sencillo, ya que se almacenan en la SDCard del dispositivo, pero también
pueden sacarse
de un dispositivo iPhone si se tiene acceso local o al backup, aunque el proceso podría complicarse un poco, en función de
si hay jailbreak o no, si hay SSH por defecto, y del
tipo de dispositivo que sea y la versión del sistema iOS. Siempre podríamos intentar encontrar una vía realizando un
hacking a dispositivos iPhone completo.
Alejandro Ramos (
@aramosf) liberó un
script en Python
dónde teniendo la base de datos cifrada y el usuario de Gmail utilizado
en el dispositivo
Android se puede obtener las conversaciones
descifradas y listas para su lectura. Además, el servicio
Recover Messages ya dispone de esta funcionalidad para la recuperación de mensajes recuperados de una base de datos cifrada.
¿Cómo funciona el cifrado y el descifrado? El algoritmo para cifrar es
aes-cbc-192,
la información de la base de datos es cifrada utilizando una clave y el
nombre de la cuenta de correo electrónico del dispositivo. El modo cbc,
cipher block chaining, aplica a cada bloque de texto plano un XOR con
el bloque anteriormente cifrado, para su posterior cifrado. De este modo
cada bloque de texto cifrado va a depender de todo lo que está en plano
procesado hasta el momento. El vector de inicialización hace que cada
mensaje sea único.
PoC: El llamado Wonderland
En algunos ámbitos
Meterpreter, una famosa shellcode utilizada por muchos
pentesters en el maravilloso framework de explotación Metasploit,
es conocido como Wonderland, ya que proporciona al usuario todas las
características en la toma de control de un dispositivo remoto, y lo que
haremos será jugar con él y ver qué cosas, entre otras muchas, podemos
hacer. Algunas de las cosas interesantes que podemos hacer con esta
shellcode en un dispositivo móvil es robar la base de datos de WhatsApp,
y después descifrarla.
Lo primero es conseguir ejecutar Meterpreter en un dispositivo Android.
Esto puede ser tarea no sencilla, pero con un poco de imaginación se nos
pueden ocurrir muchas vías. ¿Por qué no entrar por la puerta principal?
Sí, podemos intentar entrar por Google Play, ¿En serio?
En esta vida todo es probar, y como ya ha explicado Sergio de los Santos hay un ecosistema de
Malware y Fake Apps en Google Play lo suficientemente grande como para que se note mucho que hemos metido un Meterpreter. Además, hemos visto que hay
peleas por hacer fakes app de WhatsApp, que hay quién
se ha dado de alta como Apple Inc, los que se dedican a hacer
estafas de SMS Premium como la de la Linterna Molona y cibercriminales que
roban el WhatsApp directamente con supuestos juegos. ¡Manos a la obra!
Contenido completo en fuente original Un Informático en el lado del mal
