Menú principal

lunes, 14 de mayo de 2012

Descifrar la base de datos de mensajes de WhatsApp

La popular herramienta de envío de mensajes desde dispositivos móviles ha estado en la mira de los investigadores de seguridad desde hace tiempo. La no utilización de un sistema de comunicaciones cifrado al enviar y recibir los mensajes, la posibilidad de escanear los mensajes de saludo de los usuarios, la posibilidad de registrar números de teléfono de otros usuarios, o bugs que la llevaron a ser retirada del App Store, son algunos ejemplos que dejan clara esta afirmación.

En esta ocasión hay que hablar del cifrado de la base de datos de mensajes que se almacena en el dispositivo. Para ello, como explica Alejandro Ramos en Security By Default, los datos están almacenados en un fichero SQLite cifrado con AES. Dependiendo del terminal, es decir, Android, iPhone o BlackBerry, el cifrado es muy similar, pero con matices, tal y como se detalla en el paper WhatsApp Database Encryption Project Report de Fabio Sangiacomo y Martina Weidner.

Figura 1: Análisis de cifrado en Android, iPhone y BlackBerry

Sin embargo, tal y como explica Alejandro Ramos, se utiliza siempre la misma clave de cifrado sin añadir ningún factor de Salting en la clave que dependa del dispositivo, lo que hace posible descifrar cualquier fichero de mensajes de cualquier teléfono con la misma clave, utilizando un sencillo comando de OpenSSL.
openssl enc -d  -aes-192-ecb -in msgstore-1.db.crypt -out msgstore.db.sqlite -K 346a23652a46392b4d73257c67317e352e3372482177652c
De hecho, para que sea más fácil se ha creado Recover Messages en la que se sube el fichero cifrado y se obtiene el mismo descifrado, además de poder recuperar todos los mensajes borrados.

Figura 2: Herramienta online para descifrar la base de datos

Para conseguir este fichero, es necesario contar con un terminal iPhone o un backup al que se haya podido tener acceso, ya sea porque tiene jailbreak, o utilizando una herramienta de análisis forense como Oxygen Forensics.

Actualización: Para recuperar todos los mensajes borrados de WhatsApp se ha abierto Recover Messages.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares