• ENTRAR
  • No hay productos en el carrito.

Falsear backup de iTunes y la base de datos de WhatsApp

¿Qué vamos a hacer? 

  • Realizar un backup a un iPhone 4s con versión 9.3.5 con iTunes (otro modelo de iPhone con versión superior 10.x o 11.x también nos serviría)
  • Abrir el backup y elegir lo queremos modificar (o agregar).
  • Modificar unos mensajes de la base de datos de una aplicación, WhatsApp, por ejemplo.
  • Poner un mensaje en una imagen y en su correspondiente thumbail de esa aplicación.
  • Insertar lo ficheros modificados en el backup.
  • Restaurar el backup modificado con el iTunes.
  • Comprobar el experimento y comentar una serie de conjeturas.

 

Herramientas

  • iTunes (la última versión)
  • Imazing (free edition, tiene limitaciones de pago)
  • DB Browser for SQLite (open source)
  • Paint de Windows

 

El escenario

No voy a comentar si esto que vamos a hacer es lícito o no, si es un fallo de seguridad o no, me voy a limitar a explicar un experimento que surgió tras una conversación con un perito, en la cual mi primera opción fue decirle que me parecía poco probable que pudiésemos falsear el backup de un iPhone y además atacar a alguna aplicación y restaurar ese backup y que funcionara, esas palabras me las he tenido que tragar después de yo mismo demostrármelo.

Pero debemos enfocar el experimento de los prejuicios que podría ocasionar a un perito forense, imaginemos que se presenta como prueba un iPhone que ha sido falseado mediante este proceso, si no contemplamos la posibilidad de que haya sido modificado, podríamos dar un vuelco a esa investigación o proceso, por ejemplo, que hubiese mensajes o imágenes determinantes y que se hubiesen “incrustado” usando este proceso de crear backup, modificarlo y volver a restaurar con ese backup el iPhone. El objetivo del forense sería detectar ese fraude y como se pudo hacer, que como veréis en principio de una forma sencilla y con gadgets al alcance cualquiera.

He elegido WhatsApp simplemente porque es la aplicación que primero instalamos cuando tenemos un Smartphone nuevo, 😉 y claro para salir de dudas, porque por mi parte no me había metido con los iPhone a fondo y cuando vi una copia de seguridad de iPhone llena de carpetas y ficheros con nombres llenos de números y letras discordantes, con pinta de hash y que en un fichero manifest había leído que están relacionados, los cuales podríamos parsear para ir reconstruyendo una estructura de ficheros, pensé, leches !!!! bua esto no se va a poder hacer así como así. Pero para que reinventar la rueda si hay aplicaciones como imazing que nos permite darle “nombre” a todos esos ficheros y crearnos la estructura de ficheros a partir de ese backup, que además podemos manipular.

El modelo que tenía para el experimento era uno en el taller en un cajón, un iPhone 4s en la versión máxima 9.3.5 para este modelo. Aunque probé a modificar todo esto en un iPhone 6s con el parche del Télugu activado, es decir, 11.2.6 y el backup lo modifique sin problemas, pero como es el de mi mujer, pues no me dejó trastear más, no porque lo fuera a romper, sino porque tenía que hablar en el grupo WhatsApp con sus hermanas y claro, contra eso no hay quien pueda discutir, me saco uñas y dientes, no es poco que me lo dejo unos minutos para el backup y algunas pruebas en la extracción.

 

Preparación del backup

Sencillo, un iPhone en este caso con código y que conocemos, como en principio puede suceder en cualquier análisis forense, sino pues ya sabéis Cellebrite puede hacer extraer datos, y tal y tal. Eso sí para la restauración en principio necesitamos conocer también el Icloud (user y pass). Ahora bien, si solo nos dan un backup para un análisis forense, debemos pensar en si está o no modificado este backup, y después de esto, buscar indicios de ello, por si acaso.

Os muestro ambos terminales en los cuales se envían un par de mensajes en ambas direcciones y una foto desde el Android al iPhone.

Comunix

 

Y el resultado final  será el que veis, en el iPhone los dos mensajes modificados y a la imagen tendrá un mensaje en rojo marcando la modificación realizada a la imagen, cuando la abrimos totalmente, también se aprecia el thumbail modificado.

ComunixComunix

 

Como veis, el mensaje está con una palabra nueva en el iPhone: “MODIFICADO” entre el mensaje original que era “Prueba 1 envió mensaje de iPhone a Android”, igual he hecho también para la segunda prueba: “Prueba2 envió imagen y mensaje de Android a iPhone.

Comencemos:

1) Conectamos el iPhone al itunes y pulsamos en crearnos realizar copia ahora. Nada nuevo.

Comunix

2) Una vez terminado el backup, cortamos de la carpeta que lo contiene, la que tiene el nombre tan largo y lo ponemos a buen recaudo. Lo podemos encontrar en windows 7 en:

 

C:\Users\miUsuario\AppData\Roaming\Apple Computer\MobileSync\Backup

 

3) Después abrimos el imazing y configuramos la carpeta de salida de trabajo y para que empiece a funcionar la primera vez necesitamos configurar dicha ruta de salida y porque no, podemos crear una copia de seguridad para ver que será similar a la obtenida con el iTunes,  intuyo que usa la mismas API para este menester.

Comunix

 

4) Hayamos hecho o no backup con el imazing, cogemos el backup que hicimos con iTunes y lo pegamos en la carpeta de salida que le indicamos a imazing.

Comunix

 

5) Después le damos la opción de copia de seguridad del imazing y la importamos si nos apareciese directamente en la parte izquierda. La opción de restaurar copia de seguridad en la versión free esta deshabilitada.

6) Una vez que nos aparece en la parte izquierda del programa nuestro backup. Pulsamos con el botón derecho y creamos una copia editable, y le asignamos un nombre, que sea distintivo, en nuestro caso, editable1.

Comunix

 

Por cierto, si os fijáis en el programa,  nos permite entrar en las aplicaciones incluso abrir el sistema de ficheros (no todavía a nivel root – jailbreak), también nos ofrece información valiosa para un análisis de llamadas, mensajes, en fin, es un entorno más amigable y flexible que el iTunes para mi gusto, aunque otros entornos como ifunbox o itools4, también son muy agradables.

7) Pulsamos de nuevo en el backup editable (nuestro caso editable1) y con el botón derecho le damos a exportar copia de seguridad como carpeta, no vamos a utilizarla, pero quién sabe, ya que vamos a atacar a nuestra editable1 directamente, pero en todo momento podríamos ir exportando si así lo necesitásemos.

 

 

8) Vamos a lo nuestro, primero vamos a extraer los ficheros que hay en la carpeta de WhatsApp – Library – Media – telefono@whatsapp – y un par de niveles más hasta llegar por ejemplo a los ficheros que hemos recibido además de los thumbails (este thumbail es el que se muestra al desplegar una imagen que recibimos, está ruta podría cambiar pero siempre podríamos navegar hasta encontrarla.

Comunix

 

Cosa  aparte, también estos ficheros podríamos encontrar una copia en el carrete, en la carpeta MEDIA junto con las carpetas DCIMx.

Bien, las imágenes que vamos a falsear las podemos sacar seleccionándolas y pulsando el botón derecho y eligiendo copiar a PC, en la versión free nos limitan a unos pocos ficheros, pero suficientes para nuestro experimento.

Comunix

 

Hacemos lo mismo con la base de datos ChatStorage.sqlite de los mensajes, que está en aplicaciones – whatsapp – shared – group.net.whatsapp.WhatsApp.shared, estos mensajes, tanto enviados como recibidos, se guardan en la tabla ZWAMESSAGE, lo copiamos al PC como dijimos antes.

9) Abrimos la base de datos ChatStorage.sqlite con el DB Browser Sqlite y seleccionamos la tabla ZWAMESSAGE, y pulsamos en la pestaña navegar datos, voila!!!, tenemos acceso a lo que queremos, FALSEAR los mensajes que están en el campo ZTEXT será nuestro cometido, pulsamos sobre el que queramos modificar y nos aparecerá en la parte derecha y cuando terminemos con ese mensaje le damos a aplicar, para que guarde los cambios.

Ajenos a estos cambios, gracias Antonio por la aclaración y los links, podríamos revisar los journals, para ver cómo queda realmente la base de datos.

 

10) Una vez que tengamos los ficheros modificados los volcamos arrastrando a su carpeta correspondiente de origen, las fotos (y el thumbail) en su carpeta y la base de datos ChatStorage.sqlite a su sitio. Nos pide confirmación de sobreescritura la que aceptamos.

Comunix

 

Comunix

 

Detengámonos en este punto un momento y revisemos las siguientes imágenes que corresponden a las carpetas de nuestros backups el que hicimos con iTunes y el modificado con imazing. En ellas podemos comprobar las modificaciones con respecto a las originales. Vemos como el manifest cambia su tamaño y fecha. Bien comentemos el contenido de esos ficheros ligeramente.

Comunix

 

  • plist nos informa, de una forma difusa, si tiene código el iPhone, entre otras cosas poco legibles.
  • plist cuando y con que se hizo el backup.
  • plist contiene info del dispositivo y sus aplicaciones.
  • mbdb contiene información relativa a los ficheros, tamaños rutas,… para montar la estructura. Esta codificada con sha1, no es nuestro cometido tratarla ni como extraer el key, como dije para que vamos a reinventar la rueda si lo hace por nosotros imazing. Aunque no me voy a quedar sin las ganas de comentar que podemos recuperar en excel y parsear la info usando el script de Alejandro Ramos, listmanifest.py que podéis encontrar junto con otras joyas en https://code.google.com/archive/p/sbdtools/downloads y para quien quiera seguir tirando de ese hilo como yo en su día, os mando a: http://highsec.es/2013/07/analisis-forense-iPhone-analisis-del-backup-1a-parte/ , buen provecho.

11) Copiar nuestro backup modificado a la carpeta de iTunes que contenía el backup original.

Comunix

 

12) Le asignamos a la carpeta el nombre original que tenía, ese nombre tan largo para que el itunes recuerde que ya tenemos un backup hecho.

Comunix

 

13) Abrimos el iTunes de nuevo y restauramos el backup, nos pedirá que desactivemos la opción de Buscar mi iPhone, así que vamos al nuestro teléfono, ajustes -icloud y lo deschequeamos, pedirá contraseña de Icloud.

Comunix

 

14) A continuación nos pedirá el nombre, en nuestro caso editable1, que aparecerá en la ventanita y en principio se va a comer perfectamente nuestro backup falseado.

Comunix

 

Bien después de todo esto, el iPhone se reiniciará pidiendo código de desbloqueo y la cuenta de Icloud con user y pass. Pedirá, posiblemente, activar el WhatsApp pero los datos estarán ahí.

Hemos pasado por alto algunas cosas, un gran fallo de nuestro falseo han sido los metadatos del Paint y las fechas, cosas que un perito forense debería de comprobar con algún script para detectar este tipo de modificaciones, que si bien son sencillas, pueden ocasionarnos molestias en un análisis, incluso darle la vuelta completamente a una investigación como comentamos al principio, quizás lo podríamos pasarlo por alto, es un iPhone se supone que estas cosas en principio no deberían pasar, o sí??

Otro dato a tener en cuenta, es que las imágenes que hemos modificado no han sido las del carrete, y en las previews de recepción como veréis en la siguiente imagen no aparece modificada, ni siquiera como mi primera suposición la de que fuera el thumbail, ya que o bien las toma del carrete u otra razón que de momento no me he detenido a investigar, pero como veis en la imagen si que se ven los mensajes modificados. El caso es que al abrirla sí que aparece nuestra imagen modificada.

Podríamos tratar este tema más profundamente, seguro que lo haremos, pero solo quería poner de manifiesto este experimento.

Comunix

Comunix

 

Aquí podéis ver la imagen modificada al abrir la preview incluso el thumbail también modificado en la parte inferior en pequeño, recordáis que extrajimos la imagen y un thumbail y los modificamos con el Paint?????

Por tanto damos por concluido con éxito el experimento de modificar un backup creado con el iTunes y modificar la base de datos de una aplicación como whatsapp que contenía el backup y restaurar ese backup modificado.

Si te gustó búscame en Telegram como @nomed1, próximamente también en www.tallerdeandroides.com, hasta la próxima.

Buenaventura Salcedo | @nomed1

www.tallerdeandroides.com

 

0 respuestas sobre "Falsear backup de iTunes y la base de datos de WhatsApp"

Deja un mensaje


Tú escuela de Hacking Ético.

Suscríbete a nuestro Boletin

  Suscribirse ahora
Copyright © 2018 - Todos los derechos reservados.

X