30 abr. 2011

Cómo Saber por Donde ha Pasado tu iPhone

Bueno, hace poco se supo de una funcionalidad no deseada en el Iphone y Ipad, que consistía en que al tener GPS incluido guardaba la posición de tu Iphone y Ipad en un archivo oculto llamado consolidated.db, este archivo contiene coordenadas de latitud y longitud con fecha y hora, las coordenadas nunca son exactamente iguales pero tienen informacion muy detallada. El mayor problema se daba en que ese archivo era transferido a cualquier computador con el que fuera sincronizado este gadget.

A consecuencia de esto Hispasec ha dejado una análisis forense a tal función del Iphone/Ipad muy clara y con imagenes donde eseñan como manipular consolidated.db para ver en Google Maps la geolocalización del aparato.

A continuación dejo el Tutorial:

Mucho se ha hablado estos días sobre qué datos de localización almacena un iPhone. Sobre todo alrededor de la polémica en torno a la privacidad y sobre cómo, además, parece una práctica habitual en el resto de teléfonos y sistemas operativos para móviles de última generación. Pero ¿cómo sé qué datos se guardan exactamente? ¿Cómo funciona? Mostramos cómo cualquier usuario (sin herramientas especiales) puede conocer a qué antenas se conectó su teléfono (normalmente cerca de donde se encuentra el terminal) desde que ejecuta iOS 4.

Alasdair Allan y Pete Warden, durante una sesión en la conferencia Where 2.0 llamada "¿Quién tiene acceso a estos datos?", desvelaron un software para estudiar el archivo de los iPhone e iPad que almacena la información de localización. En el programa se podía ver en un mapa todos los lugares por los que había pasado el terminal. Apple reconocía el hecho y, además, se descubría que el fichero sobrevivía aunque se borrasen el resto de datos. Vamos a ver, a bajo nivel, cómo funciona ese software. Mientras, en torno a la polémica, el propio Steve Jobs ha tenido que salir a la palestra para calmar ánimos y confirmar que esta "funcionalidad" del iPhone será eliminada en la próxima actualización.

El archivo de la discordia

iPhone almacena varios archivos llamados consolidated.db, que no es más que una base de datos en formato SQLite. Si podemos acceder al sistema de ficheros (porque el sistema operativo se encuentre "jailbroken") se comprueba que son:

private/var/root/Library/Caches/locationd/consolidated.db
var/root/Library/Caches/locationd/consolidated.db
System/Library/Frameworks/CoreLocation.framework/Support/consolidated.db

Siendo los dos primeros exactamente el mismo fichero, y el que nos interesa. El tercero, es una base de datos de uso interno del iPhone que almacena datos genéricos de localización, por ejemplo, la longitud y latitud que abarcan los países, su código, etc. Si se estudian más profundamente, se podrán observar incluso direcciones MAC de routers WiFi.

Si no podemos acceder al teléfono, es sencillo recuperarlo de la copia que el propio terminal (a través de iTunes) almacena en el sistema. En Mac OS, se encuentra en /Users//Library/Application Support/MobileSync/Backup Y en Windows, en C:\Users\\AppData\Roaming\Apple Computer\MobileSync\Backup\

Dentro del directorio más reciente se encuentran diferentes archivos con nombres poco reconocibles. Existen varias formas de localizar consolidated.db que nos interesa. Una es estudiando Manifest.mbdb y Manifest.mbdx, y otra buscando una cadena específica entre todos los archivos del directorio. En Windows se puede hacer con el comando:

findstr /M /I celllocation *.*


Esto nos devolverá un archivo que será el que se encuentra almacenado en el iPhone. En mi caso, tiene el peso de unos 6 megabytes. Cabe recordar que el archivo se encontrará en todas las máquinas con las que se haya sincronizado el iPhone.

Estudiando el fichero

Mirando las cabeceras del fichero, se ve trivialmente que corresponde a una base de datos SQLlite. Con cualquier herramienta, ya se podrían realizar muchos tipos de estudio de los datos almacenados y automatizar diferentes procesos. Para cualquiera que quiera simplemente ver cómo funciona, lo más sencillo es descargar, por ejemplo, la herramienta gratuita SQLlite Browser desde http://sqlitebrowser.sourceforge.net/.

Se abre el fichero con el programa, y se busca la tabla CellLocation, que contiene la localización de las células (más o menos, las antenas a las que se conecta el teléfono). A partir de ahí, se deduce la localización.

La tabla contiene diferentes campos relativos al protocolo GSM:


* MCC - Mobile Country Code
* MNC - Mobile Network Code
* LAC - Location Area Code
* CI - Cell Identity
* Timestamp. Para traducir este dato a una fecha "comprensible" es necesario saber que se encuentra en formato " Cocoa NSDate" y corresponde al número de segundos desde el 1 de enero de 2001 (algo parecido al Epoch). Para traducirlo a una fecha real de forma muy sencilla, se puede usar, por ejemplo, la herramienta web http://blog.paddlefish.net/?page_id=90
* Latitud y Longitud. Los datos más interesantes. Ayudándonos de Google Maps o Google Earth, comprobamos el punto exacto de la localización. Para conseguirlo en Google Maps, se introduce la latitud y la longitud separados por una coma.


Otros datos

Es curioso como, sobre todo, es muy sencillo reconstruir viajes y largos desplazamientos. Se observan en la tabla que a un mismo "timestamp" (un mismo momento exacto) pueden llegar a corresponder varias localizaciones. Esto no tiene nada que ver con la ubicuidad sino que en realidad son las antenas cercanas. También se observan intervalos de tiempo en los que no se registra nada. Se debe a que al parecer el terminal solo recoge la información de las antenas a las que tiene acceso cuando detecta desplazamientos significativos.

Existen, como hemos mencionado, herramientas que reconstruyen itinerarios con esta información (iPhoneTracker), pero en esta entrada he querido reflejar cómo se realiza esto a bajo nivel. Por ejemplo, como curiosidad (resulta incluso adictivo) he podido reconstruir viajes personales con mucha precisión (duración, momento exacto, etc) que apenas recordaba.

Fuente: http://www.hispasec.com

Author & Editor

Ingeniero Civil en Computación (Universidad de Chile FCFM) y Diplomado en Gestión y Evaluación de Proyectos TI (Universidad de Chile FEN). Actualmente trabajo como Project Manager en varios proyectos y como asesor tecnológico para empresas.

4 Notaciones:

  1. yo tengo un iphone y es verdad :S

    ResponderEliminar
  2. De apple se puede esperar cualquier cosa...

    ResponderEliminar
  3. Muy interesante la info. Yo tengo Blackberry.. tendrías alguna data interesante? Siempre me paso por el Blog.. te daras cuenta por mi IP..jajaj.. saludos.

    ResponderEliminar
  4. que mal de parte de apple :(

    ResponderEliminar

Nota: solo los miembros de este blog pueden publicar comentarios.

Labels

0-day (12) 1337day (1) 8.8 (2) Adobe Acrobat (1) Android (2) Anonimato (1) Anonymous (9) BackDoor (2) BackTrack (15) badUSB (1) Base64 (1) Black Hat (7) BlackHat (1) Blackploit (25) Brute Force (3) Bug (106) Bypass Password (1) Bypass Redirect (1) C99 Shell (1) Carding (1) CheatSheet (15) Chilean Way (1) Conference (10) Cryptsetup (1) CSRF (1) DDoS (11) DEF CON (3) DEFCON (7) Diapositivas (1) Diseño Web (1) Distro Linux (27) Documental (2) DoS (2) Drupal (1) DuckDuckGo (1) E-zine (18) Ekoparty (1) Escaneo (4) España (1) Exploit (64) Ezine (1) Facebook (1) Fast-Info (44) FBI (1) Ficheros Binarios (1) Firefox (4) Flash (2) Forense (9) Fuerza Bruta (11) Fuga de Datos (1) GhostShell (1) GNU/Linux (4) Google (2) Guía (1) Hack T00LZ (130) Hack Tips (63) Hacked (6) Hacking (18) Hacking Hardware (5) HashCat (1) Herramientas (121) HighSecCON (1) Humor Geek (13) Infografía (1) Ingeniería Social (5) Inj3ct0r (1) Internet Explorer (3) Java (7) JavaScript (2) Kali (3) KitPloit (1) Leaks (21) Linux OS (79) LulzSec (1) Mac OS (10) Magazine (1) Malaware (3) Malaware Tools (12) Malware (1) Man in the Middle (15) Manuales (3) MD5 CRACK (4) Metasploit (57) MSSQL (1) MySQL (6) MySQL CRACK (1) Nmap (6) Nmap NSE (2) Noticias (193) NTLM CRACK (1) Ofuscar (5) OpenSolaris OS (1) OpenSSL (1) ORACLE (1) OWASP (3) Paper (10) PDF (7) PenTest (14) Perl (2) Phearking (13) Phishing (3) PHP (13) phpMyAdmin (1) PoC (1) Premios Bitacoras (1) Presentaciones (11) PRISM (1) Privacidad (2) Programación (12) Programas Linux (41) Programas Windows (41) Pwned (1) Python (5) Reconocimiento (5) Ruby (2) s (1) Scripts (7) Seguridad (145) Seguridad Web (140) Seguridad Wireless (19) Sensitive Data Exposure (2) SHA1 CRACK (1) Shellshock (1) Slides (1) Spoofing (1) Spyware (1) SQLi (19) SQLi Tools (7) SQLMap (2) SSH (1) Textos (74) Tips (57) Troyanos y Virus (11) Trucos (7) Trucos Win (7) Turiales (56) Tutoriales (18) Twitter (1) Ubuntu (2) Underc0de (1) UnderDOCS (1) Unlock (1) URL Redirection (1) UXSS (1) vBulletin (1) Video (48) Virtualización (2) Web T00LZ (17) Wifislax (1) Wikileaks (1) WikiRebels (1) Windows OS (66) Wireless Tools (13) XSS (16) Youtube (1)

 
biz.