viernes, 24 de enero de 2014

Análisis Forense | BinaryCookieReader: Como leer las sesiones almacenadas en iOS

Cuando a un auditor de seguridad le toca realizar un Análisis forense de iOS sabe muy bien donde puede encontrar archivos con mayor o menor información. En la gran mayoría de los casos, cuando se realiza un estudio de un dispositivo con iOS lo primero que se hace es ir directamente a ver las bases de datos de las aplicaciones, ya que estas son de las que mayor información se puede extraer. De estas Bases de datos ya vimos anteriormente que se pueden leer conversaciones de conversación de Whatsapp, o qué gracias a ellas, podemos ver todas las fotos de Instragram de otras personas.

Sin embargo otro de los archivos que que también es de suma importancia y del cual hemos hablado poco de él, es el archivo Cookie.binarycookies. Este pequeño archivo se puede encontrar en cada una de las aplicaciones y es el encargado de almacenar todas las cookie de la propia aplicación en cuestión.Encargado también de poder hacer una suplantación de identidad si se llevará a otro equipo.

Para poder leer esta Cookie, @Satishb3 de http://www.securitylearn.net ha creado un pequeño script en python que hace la hace mucho más legible.

Imagen 1: Fragmento del script binarycookiereader.py

En su página web ha creado un post donde se explica con detalle como funciona la herramienta, aunque realmente, esto no tienen ninguna complejidad. Basta con indicarle a binarycookiereader.py la ruta donde está el archivo cookie.binarycookie y lo mostrará de manera entendible para todos.

Imagen 2: Lectura de Cookie.binarycookie con BinaryCookieReader

A diferencia de otros navegadores o aplicaciones, las Cookies se almacenan en formato sqlite. como ya he comentado. Por esta razón es por la que tener a mano BinaryCookieReader puede ser de gran utilidad.

La ruta donde se almacena esta Cookie en todos los dispositivos iOS se encuentra en:

/private/var/mobile/nombre_aplicacion/Library/Cookie

O bien podemos buscarla y extraerla con iExplorer

Imagen 3: Explorador de archivos iOS, iExplorer

Para saber más detalles sobre la estructura del archivo cookie.binarycookie es recomendable que paséis por la web del autor y veáis la estructura y la menea de trabaje que tiene este tipo de archivos.
Ambas herramientas, tanto BinaryCookieReader, como iExplorer  estarán incluidas en la próxima versión de K0SASP.