WhatsApp: Cómo guardar para siempre las fotos de 1 sólo uso "View Once"

Las fotografías de WhatsApp de "View Once", es decir, las imágenes de "1 sólo uso", tienen el riesgo de dar una falsa sensación de seguridad a sus usuarios. Primero porque cualquiera puede hacer una fotografía con otro dispositivo a esa foto, así que no hay garantía que no te la capturen. Segundo porque hay un leak de información con la miniatura que permite que se capture, como expliqué en el artículo:"WhatsApp: El leak de las miniaturas en las fotos de un sólo uso y su reconstrucción con GenAI". Ahora, un investigador ha explicado lo fácil que es guardarlas en tu ordenador.

Figura 1: WhatsApp: Cómo guardar para siempre

las fotos de 1 sólo uso "View Once"

Al final, es posible capturar el tráfico de WhatsApp y por tanto saber dónde se almacena el fichero cifrado en los servidores de WhatsApp, y conseguir las claves de descifrado para poder descargar la foto, descifrarla y almacenarla.

Figura 2: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

WhatsApp Intelligence es una disciplina que cada día es más importante para los Pentesters, para los equipos Red Team y para los Researchers, por lo que conocer todas estas técnicas son fundamentales. En el libro de WhatsApp Intelligence vamos recopilando todo este conocimiento.

Figura 3: El WhatsApp de la derecha envía una foto de View Once

Figura 4: El WhatsApp de la izquierda recibe el mensaje pero NO se

 visualiza la foto ya que sólo está disponible en el terminal del móvil.

En este caso de las fotos de un sólo uso, el proceso es más sencillo de lo que parece. Basta con tener el cliente de WhatsApp Web y obtener el tráfico con la ubicación de la fotografía, ya que el cliente de WhatsApp Web, a pesar de no mostrar la foto - y ser necesario ver la fotografía en el dispositivo móvil -, el cliente recibe la información completa.

Figura 5: Tráfico capturado en la sesión del cliente de

WhatsApp que recibe el mensaje de View Once

(Con URL de almacenamiento, vector de inicialización y ciperkey)

Lo primero que hay que hacer es ver dónde está la fotografía almacenada en los servidores de WhatsApp, por lo que copiando esa URL podemos descargar el archivo de la foto, pero cifrada en formato .enc (encrypted).

Figura 6: Se captura la URL y se puede descargar el fichero cifrado.

Como se puede ver en la imagen, están la Clave de Cifrado y el Vector de Inicialización necesarios para descifrar la fotografía, así que podemos acceder a la información necesaria para descifrarla.

Figura 7: Claves de descifrado para el cliente de WhatsApp

Para ello, utilizando OpenSSL, el nombre del fichero (en este ejemplo se ha renombrado a WA-image2.enc), y con la Cypher-key y el iv, se puede sacar la fotografía.

Figura 8: Usando OpenSSL para descifrar la foto en formato .enc

Y una vez que la hayamos descifrado - a pesar de que dé error la salida de OpenSSL -, podemos verla, almacenarla y tenerla siempre disponible sin que se haya cumplido la opción de "View Once".

Figura 9: Foto descifrada

Por supuesto, quitar de todos los clientes de WhatsApp en Web o en Desktop de esta información se podría limitar el acceso a la Decypher-Key e IV, pero aún así, con un cliente de WhatsApp en cualquier dispositivo móvil con Jailbreak (iPhone) o Rooted (Android) se podría seguir accediendo a esa información.

Figura 10: La foto descifrada almacenada

Pero como he dicho al principio, lo más importante es que la fotografías de un sólo uso es una falsa sensación de seguridad, porque siempre se puede hacer una foto con otro dispositivo, pero esta demostración tiene un acceso completo al binario de la fotografía, con lo que viene completo hasta el último bit. Puedes ver el proceso completo en el vídeo que ha publicado el investigador.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)