Nuestro compañero Chema Alonso ha publicado un artículo en cuatro partes en las que ha analizado los metadatos y la información oculta que se puede extraer de los documentos Apple iWork. En él, se desgrana la estructura de los ficheros que utilizan Numbers, Keynote y Pages para almacenar la información, y vamos a pasar a hacer un resumen de los puntos más importantes.Los documentos .pages, .numbers y .key son archivos comprimidos que contienen una estructura de carpetas. En la lista de ficheros se puede encontrar:
- BuildVersionHistory.plist: Fichero que almacena, en codificación plist, el historial de versiones del documento. Permite hacer un time-line de trabajo con el documento.
 |
| Figura 1: Estructura de un documento .pages y contenido del fichero BuilVersionHistory.plist |
- Fichero maestro: llamado index.xml en .numbers y .pages, y index.apxl en .key. En este fichero se puede encontrar información en elementos XML que pueden encontrar los propios metadatos generados por el usuario en el documento hasta información oculta no esperada por el usuario como son rutas locales del equipo donde se creo el documento, información de la impresora configurada, datos sobre las diferentes versiones y usuarios que han trabajado en el documento e, incluso, la versión del sistema operativo con que se estaba trabajando.
 |
| Figura 2: Impresora en fichero index.xml |
 |
| Figura 3: Versión del sistema operativo en documento index.xml |
- Archivos vinculados: Se encuentran en la carpeta principal del fichero contenedor y son archivos que se utilizan en la composición del documento. Traen los metadatos y la información que tuvieran antes de ser utilizados, y por lo tanto puede ser información propia del usuario o del creador del mismo
- Archivos incrustados: Se encuntran dentro de la carpeta Thumbs, y son generados por la herramienta de Apple iWork que maneja el documento. No guardan mucha información, pero en ellos es posible reconocer información tan curiosa como el perfil de color, lo que podría indicar exáctamente el modelo hardware utilizado en el sistema.
- Archivo Thumbnail: Es una imagen que contiene una previsualización de la primera página del documento. Esta imagen, al igual que los archivos incrustados mantiene información del perfil de color configurado en la máquina en la que se creo el documento, que podría llegar a ser de interés en un análisis forense si identifica a un modelo de equipo concreto.
 |
| Figura 4: Perfil de color creado para un iMac |
- Archivo Preview.pdf: En algunos documentos se matiene una previsualización en formato PDF dentro de la carpeta QuickLook. Este archivo contiene metadatos que son añadidos por la utilidad que se tenga configurado en el sistema para la creación de este tipo de archivos. Curiosamete, duplican metadatos como autor, sistema operativo, etcétera, y no pueden ser manipulados desde las herramientas de Apple iWork, lo que lo hacen especialmente sensible.
 |
| Figura 5: Metadatos en Preview.pdf |
Este es un resumen de lo publicado en El lado del mal, pero si deseas leer en profundidad el artículo completo puedes hacerlo en los siguientes enlaces:
Por desgracia, Apple iWork solo tiene opciones de visualización del contenido del elemento metadata en el fichero index.xml / index.apxl y no tiene ninguna opción ni herramienta que avise o limpie esta información, así que, si vas a publicar un documento en estos formatos, te recomendamos que tengas especial cuidado con la información que provees sin querer.
No hay comentarios:
Publicar un comentario