miércoles, 17 de septiembre de 2014

Cómo crear mensajes falsos de WhatsApp en un iPhone

Si tienes pareado un equipo con un iPhone, ese equipo tiene acceso a todo (o casi todo) lo que haya en ese terminal. Se puede acceder a los datos de Facebook y sacar la sesión para acceder a la cuenta, se puede extraer la base de datos de WhatsApp para buscar los mensajes borrados, se puede por supuesto espiar el WhatsApp silenciosamente, se puede acceder a las fotos en un proceso de juice jacking, se puede hacer jailbreak y meter un troyano al iPhone de forma automática, se puede manipular WhatsAppTelegram o Twitter para que no se borren nunca los mensajeso se pueden manipular las bases de datos para crear mensajes falsos.

Esto es algo que se conoce desde hace tiempo y se cuenta en detalle en el libro de Hacking iPhone, aunque aún hay gente que no ha entendido esto. Para demostrar lo sencillo que es de hacer creamos una pequeña herramienta que se llama WhatsApp Injector - que no hemos publicado -, y que permite crear conversaciones falsas a la carta usando un equipo pareado para generar falsos rumores, motivar animadversión hacia personas o conseguir engañar a un periodista con un falso mensaje - por poner un ejemplo -.  Aquí tienes una rápida demostración de lo que hizo ayer Chema alonzo en el programa de radio de La Mañana con Javi Nieves.


Figura 1: Vídeo de la demostración de cómo crear mensajes falsos en WhatsApp para iPhone

Hacer este proceso es sencillo si el equipo está pareado con el terminal, es decir, si se ha seleccionado en las nuevas versiones de iOS 7.X la opción de "confiar en este equipo". Si ha sido así, desde el equipo se puede acceder a la base de datos de WhatsApp y escribir los registros que se desee.

Para la prueba de concepto, la herramienta WhatsApp Message Injector que ha programado nuestro compañero Ioseba Palop funciona como un servicio de Windows. Se queda residente en el equipo esperando a que se conecte un iPhone para escribir en su base de datos de WhatsApp la conversación seleccionada. Para ello, el escenario de ataque es el siguiente:

Paso 1: Creación de la conversación de WhatsApp en el equipo pareado

Este ataque podría estar pensado en entornos de pareja donde ambos tienen pareado el terminal iPhone en el mismo equipo, o en entornos de trabajo donde los trabajadores conectan el iPhone al equipo de la empresa. 

Si haces esto, es decir, si pareas tu terminal iPhone con el equipo del trabajo le estas dando acceso a tu Facebook, WhatsApp, Gmail, Fotografías, vídeos, etcétera al equipo IT de la empresa. ¡Piensa en ello!

Figura 2: Creación de conversación falsa en WhatsApp Message Injector

En ese equipo se abre la herramienta WhatsApp Message Injector y se crea la conversación que se quiere meter en la base de datos de WhatsApp. La herramienta permite seleccionar la fecha exacta y el estado que se quiere para el mensaje, es decir, podemos elegir si aparecerá como enviado, enviado y recibido, no enviado, recibido, además de la hora exacta y el remitente o destinatario del mensaje.

Paso 2: Dejar la trampa preparada

Una vez creada la conversación se cierra la herramienta. El resto será esperar a que se conecte el dispositivo iPhone de la víctima para que el servicio de Windows inyecte la conversación. Esta conversación se colocará correctamente, enlazándose en el hilo completo de la conversación, es decir, si la fecha está entre dos mensajes, entonces quedará correctamente colocado. El resto es esperar.

Cuando se conecte, como la base de datos de WhatsApp en iPhone no está cifrada, bastará con hacer las consultas SQL adecuadas a la base de datos SQLite deWhatsApp. Esto ya se vio en el artículo que explicaba cómo se hacía un D.O.S. a WhatsApp.

Paso 3: Se conecta el equipo y se inyecta la conversación

Nada más enchufarse el terminal iPhone al equipo con WhatsApp Message Inyector, el servicio escribirá en la base de datos de WhastApp todo el mensaje, haciendo creer a la víctima que ha recibido esos mensajes. Como broma pesada puede estar bien, pero ojo con esto que te puede hacer todo un  problema.

Figura 3: Conversación de WhatsApp que se ha creado en la base de datos.

En este caso se puede ver cómo el cuarto mensaje se creo con un time-stamp anterior al mensaje de "Voy!" y WhatsApp Message Injector lo puso en su lugar correspondiente. Si el número de teléfono estuviera en los Contactos, entonces aparecería su foto y su nombre. Si hubiera una conversación previa auténtica, los mensajes se intercalan en al ubicación correspondiente.

Al final, los mensajes de WhatsApp, de Telegram, de Skype, de Twitter, etcétera, se guardan en bases de datos locales, y si tienes acceso al dispositivo es trivial manipularlos con herramientas como estas o manualmente con un editor de bases de datos, así que ojo con tragarte cualquier cosa de estas. Y por supuesto, el - o los - equipo/s que tengas pareado/s con tu terminal iPhone iPad puede/n robarte todos los datos. Ojo con ello.



No hay comentarios:

Publicar un comentario