Depuis le début, du moins dans les systèmes d'exploitation Android,
- Depuis le début, du moins sur les systèmes d'exploitation Android,
- Sauvegardes WhatsApp
- Conversation de la victime avec une personne
- Décryptage de la base de données WhatsApp pour Android
- Nous avons déjà les conversations, qui ont été importées de la base de données WhatsApp, mais nous voulons maintenant les importer pour les enregistrer.
- ce qui permet aux analystes judiciaires d'accéder à davantage de données en disposant de la base de données et du SIM.
la base de données de WhatsApp stockées sur l'appareil ont été cryptées,
pour éviter que quelqu'un puisse facilement prendre des messages dans les conversations en accédant simplement à la base de données.
Au iPhone n'a pas fonctionné de la même manière, et est restée non cryptée pendant de nombreuses versions.
Figure 1 : Découvrez comment décrypter les messages WhatsApp pour Android sans la clé de cryptage. |
Systématiquement, version après version de WhatsApp à Android
a étudié la manière dont un analyste judiciaire pourrait déchiffrer le contenu d'une base de données de conversations.
Nous avons vu ici comment le faire avec la fonction bases de données au format cyrpt4 o plus de crypt5utilisé par WhatsApp pour Android.
Dans l'article d'aujourd'hui, j'expliquerai comment il est possible pour quelqu'un qui a accès à un appareil de décrypter les données de l'appareil. Sauvegardes de WhastApp à Android sans avoir besoin de votre mot de passe.
Sauvegardes WhatsApp
WhatsApp a, comme d'habitude, généré automatiquement une copie de sauvegarde chaque jour,
Cela permet de sauvegarder l'historique des chats dans la mémoire de votre téléphone ou sur une carte mémoire,
Selon la configuration de l'utilisateur, ils permettent d'accéder à toutes les conversations à un moment donné.
Figure 2 : Sauvegardes de cette semaine d'août 2017 |
À cette fin, un fichier est créé au format msgstore-AAAA-MM-DD.1.db.crypt12 qui est cryptée à l'aide d'une clé générée sur l'appareil à chaque installation. WhatsApp,
nous ne pouvons donc utiliser cette clé que pour décrypter toutes les copies de sauvegarde de la base de données ou de la base de données. bakupscrypté avec lui.
Conversation de la victime avec une personne
Il s'agit de la procédure par laquelle vous pouvez accéder à une conversation en ligne à partir des exemplaires quotidiens de
nous ne pouvons donc utiliser cette clé que pour décrypter toutes les copies de sauvegarde de la base de données ou de la base de données. bakupscrypté avec lui.
WhatsApp pour Android si l'accès au terminal mobile est disponible.
WhatsApp pour Android si l'accès au terminal mobile est disponible.
Un article paru il y a quelque temps expliquait comment utiliser Metasploit pour contrôler un terminal Androidet c'est ce qui sera utilisé pour réaliser le processus également.
Figure 3 : conversation WhatsApp à consulter |
Nous allons tout d'abord créer un charge utile avec msfvenom de notre Kali Linux pour créer un porte dérobée dans l'appareil de la victime.
Comme l'explique l'article de Voler WhatsApp sur Android avec MetasploitCe que nous allons utiliser, c'est un APKmalveillante créée avec msfvenom de sorte que lorsque la victime l'exécute sur le terminal,
nous pouvons recevoir une session de Meterpreter dans notre Metasploit.
Figure 4 : Création de l'apk malveillante avec msfvenom en utilisant le Reverse TCP Shell |
Nous allons maintenant utiliser Cadre Metasploitnous configurons Metasploit avec nos données afin d'écouter la demande de l'utilisateur. charge utileLorsqu'elle est exécutée sur l'appareil, la session apparaît.
Figure 5 : L'auditeur Metasploit écoute pour recevoir une session TCP |
Figure 6 : Lorsque la victime exécute l'APK msfvenom, nous avons maintenant accès au terminal Android. |
Une fois dans le dispositif de la victime, nous allons aller dans la section WhatsApp sur Android. Par défaut, il se trouve dans le dossier sdcard.
Une fois dans le dispositif de la victime, nous allons aller dans la section WhatsApp sur Android. Par défaut, il se trouve dans le dossier sdcard.
Vous pouvez voir ici les sauvegardes des bases de données de l'application WhatsAp pour AndroidLa version actuelle, qui correspond à "...", est utilisée pour le moment.msgstore.db.crypt12".
Figure 7 : bases de données de WhatsApp pour Android |
Une fois que nous avons accédé à la base de données du WhatsApp et que nous avons accès à l'appareil cible, il reste à le décrypter.
Si l'appareil cible dispose d'autorisations racine - c'est-à-dire qu'il est enraciné -Nous pouvons sauter cette étape jusqu'à ce que j'explique comment obtenir la clé privée,
puisqu'il ne serait pas nécessaire de voler le compte, et qu'il suffirait d'utiliser WhatsApp Viewer avec la clé privée et la base de données.
Un dispositif avec des permissions de racine permet à l'utilisateur d'avoir un accès administratif au système sur l'appareil, ce qui le rend plus vulnérable aux attaques de logiciels malveillants et la mise en œuvre de la exploits.
Mais supposons que nous ne puissions pas accéder à la base de données cléet ce que nous allons faire, c'est générer une nouvelle sauvegarde de la base de données de WhatsApp sur un autre appareil ayant le même chatsLes informations que le WhatsApp ont des appareils.
En d'autres termes, ils peuvent décrypter les bases de données sans disposer de la clé privée de l'appareil.
Ils gardent ces clés pour "l'utilisabilité"Cela permet de migrer les bases de données d'un appareil à l'autre sans qu'il soit nécessaire de disposer de la clé de chiffrement. Voyons ce qu'il en est.
Décryptage de la base de données WhatsApp pour Android
Pour ce faire, nous utiliserons un deuxième appareil sur lequel nous installerons les éléments suivants WhatsApp pour Android.
Dans mon cas, j'utiliserai un émulateur de Android qui a le droit d'accéder à racine puis d'importer la copie de sauvegarde que nous avons ramenée par l'intermédiaire de l'application Metasploit de l'appareil Maintenant,
nous transmettons la base de données de WhatsApp que nous avons apportée au dispositif Android dans l'émulateur, dans le dossier Bases de donnéesdu dossier WhatsApp. S'il n'apparaît pas, il est créé.
Figure 8 : Copier la base de données sur l'émulateur |
Nous ouvrons maintenant WhatsApp pour Android dans l'émulateur et saisissez le numéro de téléphone de la cible pour terminer la procédure d'enregistrement.
Un message de confirmation est alors envoyé au terminal de la cible, qui est actuellement contrôlé par l'option Metasploit.
Il s'agit de la procédure normale d'enregistrement pour les WhatsApplors de la connexion du compte sur un nouvel appareil.
Figure 9 : Enregistrement de WhatsApp pour Android dans l'émulateur |
Nous avons besoin du code de vérification SMS Nous revenons donc à la session que nous avons de Metasploitnous téléchargeons les messages SMS et l'ouvrir avec un éditeur de texte. J'utiliserai nano.
Figure 10 : Accès au SMS du terminal cible |
Nous avons maintenant le code de vérification. Il ne reste plus qu'à restaurer. Cependant, si la cible avait configuré un Vérification en deux étapes sur WhatsApp,
Nous ne pourrions pas continuer maintenant. WhatsAppSi vous ne disposez pas de cette protection, envisagez de la mettre en place dès que possible.
Figure 11 : Accès au code d'enregistrement de WhatsApp |
Une fois la restauration terminée, nous attendons que le programme chats de WhatsApppour Android cette connexion, qui restera active jusqu'à ce que la cible revérifie son compte sur son terminal,
car vous ne pourrez pas l'y utiliser. En outre, tous les contacts seront avertis que la clé privée de la WhatsApp de ce contact a changé, de sorte qu'il ne s'agit pas exactement d'un processus silencieux.
Figure 12 : Restauration de la base de données WhatsApp dans l'émulateur |
Nous disposons déjà des conversations, qui ont été importées de la base de données de la WhatsAppmais nous voulons maintenant les importer pour les stocker.
En effet, les serveurs de WhtasApp La base de données est stockée pour effectuer ce processus, et nous l'avons utilisée pour décrypter la base de données sans avoir besoin des clés de cryptage de l'appareil de la cible.
Figure 13 : Conversations importées de l'appareil |
C'est important, car cela signifie que WhatsApp stocke suffisamment d'informations sur les serveurs pour décrypter n'importe quelle base de données sur n'importe quel terminal, que la clé soit disponible ou non,
qui ouvre la porte à Analystes médico-légaux d'accéder à d'autres données en disposant de la base de données et de l'outil de gestion de l'information. SIM.
- Exporter des conversations avec WhatsApp Viewer
- Nous allons maintenant faire une sauvegarde avec WhatApp pour recrypter ces conversations, mais avec la clé qui a été générée lors de l'installation de l'application WhatsApp dans l'émulateur.
- Cela nous permettra d'accéder à la nouvelle base de données et à la clé de cryptage qui a été générée dans l'émulateur.
Figure 14 : Création d'une sauvegarde de la base de données WhatsApp Maintenant, nous localisons la clé qui se trouve dans ce dispositif, qui se trouve à l'adresse suivante "/data/data/com.whatsapp/files" en plus d'accéder à la nouvelle sauvegarde de la base de données des messages du WhatsApp que nous avons créée.
Figure 15 : Base de données créée avec la sauvegarde dans l'émulateur Figure 16 : Clé créée par WhatsApp pour cet appareil.
Vous devez être root pour y accéder.Très bien. C'est tout ce dont nous avons besoin pour pouvoir le déchiffrer.
- Une base de données de WhatsApp et la clé de cryptage utilisée. Il ne reste plus qu'à ouvrir la base de données avec WhatsApp Viewer.
Figure 17 : Transmission de la base de données et de la clé au WhatsApp Viewer Cette opération génère une base de données que nous allons rouvrir à l'aide de la commande WhatsApp ViewerIl nous permettra d'accéder aux conversations, qui peuvent également être exportées vers d'autres types de fichiers.
Figure 18 : La base de données entière est maintenant décryptée et disponible pour l'exportation. Comme on le voit ici, parce que WhatsApp permet de décrypter les bases de données générées et cryptées sur l'appareil
A dans un nouveau dispositif
B sans disposer de la clé de cryptage de l'appareil Bnous avons pu extraire une base de données d'une WhatsApp pour Android sans racine et le décrypter à l'aide des informations fournies par le WhatsApp.
Figure 19 : Comment décrypter la base de données de WhatsApp pour Android sans la clé de cryptage ?Pour suivre le processus étape par étape, j'ai réalisé cette courte vidéo rapide qui inclut chacune des commandes à effectuer pour reproduire ce processus.
Enfin, je vous recommande de lire l'article de A l'épreuve de votre WhatsAppqui contribuerait à empêcher ce processus d'aboutir, si vous avez correctement configuré toutes les mesures de protection,
car cela pourrait être utilisé par des criminels pour espionner WhatsApp.
Je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées,
Laisser un commentaire
Vous devez vous connecter pour publier un commentaire.