Actualmente existen gran cantidad de herramientas de análisis forense. La mayoría de estas utilidades tiene un buen montón de características que las convierten en poderosas compañeras para realzar análisis forenses a dispositivos móviles de manera profesional. Algunas de ellas son Oxygen Forensics Suite, Device Seizure (UFED), Forensics Toolkit (FTK), Mobil!edit Forensics, Lantern, o BitPim, de las que intentaremos ir contando cosas por aquí.
Aunque en este post se pretende hablar de herramientas que no estén tan orientadas al análisis forense, y si a los usuarios particulares que quieran revisar el sistema de archivos del dispositivo, es decir herramientas tales como iFunbox, DiskAid o iExplorer que permiten inspeccionar la estructura del terminal de manera cómoda y descubrir cosas interesantes.
Para este post se ha elegido la herramienta iFunBox, que se encuentra disponible tanto para el sistema operativo Windows [i-Funbox], como para Mac OS X [iFunBoxMac]. Con este tipo de herramientas, donde se puede navegar, descargar archivos del dispositivo y poner archivos en él, se pueden realizar cosas como:
- Navegar por el sistema de ficheros del terminal móvil. Hemos estado probando con distintas versiones de iPhone y distintas versiones de iPad, algunas con jailbreak y otras sin él. Según si el dispositivo tiene hecho el jailbreak o no, se puede ver completo o no, el sistema de ficheros, tal y como se aprecia en la siguiente captura:
Figura 1: Sistema de ficheros de un iPhone 4S (Jailed) y un iPhone 4 (Jailbreak)
|
- Juice Jacking: En cualquier caso, queda claro que las técnicas de Juice Jacking pueden acceder a gran parte del contenido del sistema de ficheros, entre los que destacan las fotografías, notas, datos de Safari, o grabaciones. Si el terminal tiene hecho el jailbreak, lo que se puede obtener es mayor.
Figura 2: Aspecto del explorador que presenta iFunBox
|
- Analizar la sandbox de una aplicación deseada. Conocer cómo se comporta una aplicación iOS y encontrar en ella fallos de almacenamiento seguro, como el del PIN del passcode de Dropbox, o el hijacking de a la aplicación Facebook, puede hacerse revisando su sandbox en el sistema. Nosotros hemos probado a ver que se veía en la aplicación Secure Folder Pro, que en teoría permite almacenar de forma segura tus fotos, videos, contactos, notas, tarjetas de crédito y contraseñas.
Además si se indaga un poco por la estructura de carpetas de la aplicación - en este caso desplegando la carpeta MyProtectedFiles.app, tal y como se muestra en la siguiente captura -, se puede obtener pistas de cómo está hecha la aplicación. En este caso por ejemplo, se aprecia que se ha utilizado un framework bajo licencia del MIT, llamado KTPhotoBrowser.
Figura 3: iFunBox navegando por la estructura de la aplicación MyProtectedFiles
|
Luego se aprecian otras carpetas típicas de la arquitectura de una aplicación iOS - consultar con esta web para comprobar qué son algunas de esas carpetas -, donde llama la atención una carpeta llamada docroot. En este caso son archivos necesarios para que funcione el servidor Http que se permite lanzar con esta aplicación.
- Utilizar el terminal para transportar documentos, como si de un pendrive se tratase. Se guardan los ficheros en la pestaña General Storage (ver Figura 2).
- Obtener datos importantes del sistema: Si el dispositivo tiene jailbreak se pueden obtener ficheros con información sensible, como por ejemplo, las bases de datos de llamadas recientes, contactos, histórico de navegación, y otras muchas… Al final, si se conocen dónde están los datos del sistema se puede hacer el análisis forense de forma manual.
Figura 4: Contenido de la base de datos call_history.db, con el histórico de llamadas realizadas
|
Evidentemente iFunBox no es como las herramientas de análisis forense profesionales, con las comodidades de pulsar un botón y listo, y tampoco pretende suplantar a una conexión terminal al dispositivo para acceder a los ficheros. Pero puede servir para obtener información del dispositivo, de los datos y de las aplicaciones instaladas. Por supuesto, es en el caso de que el dispositivo tenga jailbreak es cuando se puede obtener más información.
Si estás interesado en el análisis forense de dispositivos móviles, los próximos días 3 y 4 de Mayo en Informática64 impartiremos un Curso de análisis forense de dispositivos móviles en el que podrás ver herramientas profesionales como Oxygen Forensics y utilidades como iFunBox para que las uses cuando mejor te vengan.
Creo que éste es también una buena alternativa de iTunes.
ResponderEliminarlo que seria interesante es ver la carpeta donde esta la informacion del pin del iphone, para rescatar iphones cuyos pines esten olvidados o perdidos.
ResponderEliminar