Esto es algo que se conoce desde hace tiempo y se cuenta en detalle en el libro de Hacking iPhone, aunque aún hay gente que no ha entendido esto. Para demostrar lo sencillo que es de hacer creamos una pequeña herramienta que se llama WhatsApp Injector - que no hemos publicado -, y que permite crear conversaciones falsas a la carta usando un equipo pareado para generar falsos rumores, motivar animadversión hacia personas o conseguir engañar a un periodista con un falso mensaje - por poner un ejemplo -. Aquí tenéis una rápida demostración en el programa de radio de La Mañana con Javi Nieves.
Figura 1: Vídeo de la demostración de cómo crear mensajes falsos en WhatsApp para iPhone
Hacer este proceso es sencillo si el equipo está pareado con el terminal, es decir, si se ha seleccionado en las nuevas versiones de iOS 7.X la opción de "confiar en este equipo". Si ha sido así, desde el equipo se puede acceder a la base de datos deWhatsApp y escribir los registros que se desee.
Para la prueba de concepto, la herramienta WhatsApp Message Injector que ha programado nuestro compañero Ioseba Palop funciona como un servicio deWindows. Se queda residente en el equipo esperando a que se conecte un iPhonepara escribir en su base de datos de WhatsApp la conversación seleccionada. Para ello, el escenario de ataque es el siguiente:
Paso 1: Creación de la conversación de WhatsApp en el equipo pareado
Este ataque podría estar pensado en entornos de pareja donde ambos tienen pareado el terminal iPhone en el mismo equipo, o en entornos de trabajo donde los trabajadores conectan el iPhone al equipo de la empresa.
Si haces esto, es decir, si pareas tu terminal iPhone con el equipo del trabajo le estas dando acceso a tu Facebook, WhatsApp, Gmail, Fotografías, vídeos, etcétera al equipo IT de la empresa. ¡Piensa en ello!
Figura 2: Creación de conversación falsa en WhatsApp Message Injector
En ese equipo se abre la herramienta WhatsApp Message Injector y se crea la conversación que se quiere meter en la base de datos de WhatsApp. La herramienta permite seleccionar la fecha exacta y el estado que se quiere para el mensaje, es decir, podemos elegir si aparecerá como enviado, enviado y recibido, no enviado, recibido, además de la hora exacta y el remitente o destinatario del mensaje.
Paso 2: Dejar la trampa preparada
Una vez creada la conversación se cierra la herramienta. El resto será esperar a que se conecte el dispositivo iPhone de la víctima para que el servicio de Windowsinyecte la conversación. Esta conversación se colocará correctamente, enlazándose en el hilo completo de la conversación, es decir, si la fecha está entre dos mensajes, entonces quedará correctamente colocado. El resto es esperar.
Cuando se conecte, como la base de datos de WhatsApp en iPhone no está cifrada, bastará con hacer las consultas SQL adecuadas a la base de datos SQLite deWhatsApp. Esto ya se vio en el artículo que explicaba cómo se hacía un D.O.S. a WhatsApp.
Paso 3: Se conecta el equipo y se inyecta la conversación
Nada más enchufarse el terminal iPhone al equipo con WhatsApp Message Inyector, el servicio escribirá en la base de datos de WhastApp todo el mensaje, haciendo creer a la víctima que ha recibido esos mensajes. Como broma pesada puede estar bien, pero ojo con esto que te puede hacer un lío gordo.
Figura 3: Conversación de WhatsApp que se ha creado en la base de datos.
En este caso se puede ver cómo el cuarto mensaje se creo con un time-stamp anterior al mensaje de "Voy!" y WhatsApp Message Injector lo puso en su lugar correspondiente. Si el número de teléfono estuviera en los Contactos, entonces aparecería su foto y su nombre. Si hubiera una conversación previa auténtica, los mensajes se intercalan en al ubicación correspondiente.
Al final, los mensajes de WhatsApp, de Telegram, de Skype, de Twitter, etcétera, se guardan en bases de datos locales, y si tienes acceso al dispositivo es trivial manipularlos con herramientas como estas o manualmente con un editor de bases de datos, así que ojo con tragarte cualquier cosa de estas. Y por supuesto, el - o los - equipo/s que tengas pareado/s con tu terminal iPhone o iPad puede/n robarte todos los datos. Ojo con ello.
Saludos!
Hay una sentencia del Tribunal Supremo de 19 de mayo de 2015 muy ilustrativa. Lo que la Sala recoge es que es muy fácil falsificar una conversación mantenida a través de cualquier sistema de mensajería instantánea. “De ahí que la impugnación de la autenticidad de cualquiera de esas conversaciones, cuando son aportadas mediante archivos de impresión, desplaza la carga de la prueba a quien presente aprovechar su idoneidad probatoria”. En ese caso, sería indispensable practicar una prueba pericial que identificase el verdadero origen de esa comunicación. Un perito informático podría también identificar a los interlocutores y la integridad del contenido con una prueba pericial informática.
ResponderEliminar