martes, agosto 16, 2016

RetroScope saca los mensajes de WhatsApp o Telegram de la memoria de Android #WhatsApp #forensics #Android

El congreso USENIX, donde se presentó la técnica de Time-Based Browser Based Attacks para robar tus datos a Facebook, o el estudio de inseguridad del sistema de cifrado de Apple iMessage en el artículo "Bailando en la boca del volcán", también se presentó el trabajo sobre Restroscope, una técnica forense para dispositivos Android que permite recuperar de la memoria las pantallas que has estado visualizando en tus dispositivos.

Figura 1: RetroScope saca las pantallas de tus apps de la memoria de Android

Cada app que abres en tu dispositivo Android pinta diversas pantallas para que tú interactúes con ellas. Esas pantallas pasan por la memoria del dispositivo y se almacenan a dos niveles. Uno, a nivel del sistema operativo que guarda las pantallas que se ya se han pintado y dos, a nivel de la app, que guarda estructuras de datos en memoria que le permiten construir esas pantallas.
Figura 2: Artículo sobre Retroscope y la recreación de pantallas desde la memoria de Android

Uniendo el análisis de las estructuras GUI guardadas por el sistema operativo Android y las estructuras de datos internas de la app - que también se encuentran en memoria - los investigadores son capaces de sacar un buen número de pantallas de cada aplicación que has usado en tu terminal.

Figura 3: RetroScope en GitHub

La explicación detallada del proceso está en este artículo titulado: "Screen after Previous Screens: Spatial-Temporal Recreation of Android App Displays from Memory Images" y en él se utiliza Retroscope. Al final, la idea es sacar las estructuras GUI del sistema operativo, las estructuras de datos de la app que están en memoria y ver cuántas pantallas se pueden reconstruir hacia atrás. En esta tabla hay una estimación de cuánto duran las estructuras y los datos en memoria.

Figura 4: Comparación de la duración en memoria de los datos internos de la app y los GUI

Si nos fijamos en este estudio podemos ver que, dependiendo del dispositivo que sea, cuál sea su memoria, cuál su versión de sistema operativo, cuántas apps haya en ejecución y el uso que se le dé a las apps, este número puede variar, pero lo que es importante es que con esta nueva técnica que recompone los objetos de las apps con las estructuras GUI de la memoria, es posible aumentar el número de pantallas hacia atrás abiertas en una aplicación.

Figura 5: Estudio de dispositivos y pantallas recuperadas de cada app con Retroscope

En el siguiente ejemplo, después de estar haciéndose uso de la app de Facebook en un dispositivo, fue posible extraer de la memoria del dispositivo un total de 7 pantallas en las que se puede leer todo el contenido que el usuario ha estado viendo.

Figura 6: Siete pantallas recuperadas de Facebook App

En el caso de WhatsApp, analizando la memoria con diferentes volcados temporales se podría ir recomponiendo la historia completa del uso de la app. En este ejemplo de Screen-6 a Screen+1.

Figura 7: Ocho pantallas recuperadas de WhatsApp

La herramienta que han creado, como pone al principio de este post, se llama RetroScope y han hecho un pequeño vídeo que explica su funcionamiento. Aunque se han utilizado muchas apps de mensajería, la técnica vale para apps bancarias, o cualquier otra funcionalidad.


Figura 8: Vídeo demostrativo de Retroscope

Si quieres protegerte contra esto para evitar que te puedan espiar WhatsApp, lo mejor es proteger el dispositivo pues esta técnica necesita del volcado de la memoria y no debería ser posible extraerla sin acceso total al mismo. Tienes muchas otras que hacer para proteger tu WhatsApp a prueba de balas o para fortificar tu cuenta de Facebook. Eso sí, si eres un programador y quieres hacer un desarrollo seguro en Android tanto como sea posible, tal vez deberías ver cómo limpiar la memoria después de pintar determinados tipos de mensajes en la pantalla.

Saludos Malignos!

1 comentario:

AdMen dijo...

Screen Shield sirve de algo?

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares