[WhatsApp] Lo que nadie te cuenta
Es la aplicación "de moda'" en el mundo de la telefonía móvil, casi acto
seguido al 'dame tu teléfono' viene como pregunta ¿Y tienes WhatsApp?.
Claramente esta aplicación está cambiando el concepto de los SMS ofreciendo mensajería gratuita.Más de uno, ya ha alertado sobre la inseguridad de WhatsApp por la forma en la que transmite en claro los datos y lo que eso supone en entornos donde el medio es compartido.
Hoy vamos a hablar de la parte interna, de la forma en la que WhatsApp almacena y gestiona los datos.
Si observamos desde dentro la estructura de ficheros de la aplicación llegamos a dos ficheros llamados msgstore.db y wa.db (las ubicaciones varían, como es lógico, de Android a Iphone).
Estos ficheros están en formato SQLite.
Una vez importamos estos ficheros con alguna herramienta que permita ojear su interior (por ejemplo SQLite Manager) nos encontramos la primera sorpresa: ninguno de los datos ahí contenidos están cifrados.
En wa.db se almacenan los contactos y en msgstore.db todos los mensajes enviados
Así es, toda la relación de mensajes enviados y recibidos están ahí. Y porqué hago énfasis en "todos", sencillamente porque aunque WhatsApp teóricamente da la oportunidad mediante su interfase gráfica de eliminar conversaciones, la realidad es que permanecen en la base de datos ad infinitum.
Y el tema es aun mas divertido si el envío o recepción de mensajes se produce en un momento donde esté activado el GPS, ya que WhatsApp almacena también en el fichero msgstore.db las coordenadas
En el caso de Android aun hay mas 'chicha' almacenada que podría ser interesante para un investigador forense o un novio celoso.
Por lo visto WhatsApp viene configurado by default con un nivel de logging extremadamente 'verbose' y almacena, dentro del directorio /files/Logs, unos ficheros con este aspecto:
En esos archivos se registra con un nivel altísimo de debug todas las transacciones XMPP que realiza la aplicación, anotando con su correspondiente hora/fecha cuando se recibe o envía un mensaje (entre otras cosas).
- xmpp/reader/read/message 346XXXXXXX@s.whatsapp.net 1307XXXXXX-30 0 false false
Esos archivos son fácilmente 'parseables' para extraer la relación de números con los que se ha mantenido algún tipo de conversación.
2 comentarios
Write comentariosHola,
ReplyLas bases de datos están encriptadas con la nueva versión de WhatsApp, dependiendo del sistema operativo que se use:
- Android AES 192-bit
- Blackberry AES 256-bit
- iPhone AES 256-bit
Para desencriptarlo, también depende del modelo, se puede hacer: mediante un script, extrayendo el chip físicamente o usando el UFED.
Un saludo.
Muchisimas gracias por el aporte Jesus!!
ReplySaludos!