Retroscope: obtendo conversas criptografadas

 

 

Você, usuário preocupado com segurança e privacidade, está digitando sua conversa criptografada no Skype, ou no Telegram, ou no WhatsApp quando, repentinamente, ouve algo atrás de sua porta.

 

Rapidamente você envia ao seu destinatário sua conversa e, espertamente, faz um LOGOUT no aplicativo, impedindo que alguém, mesmo de posse de seu celular, obtenha a conversa a qual participava - afinal, ela está criptografada e qualquer invasor precisará efetuar um login no aplicativo usando sua senha...

 

Hoje isso não é mais suficiente para sua proteção

 

Uma nova ferramenta para investigações forenses chamada Retroscope permite recuperar telas de informações de aplicativos de mensageria, num total de 15 aplicativos: Signal, Skype, WeChat, WhatsApp, Telegram, Gmail...

 

Criado por pesquisadores da universidade Usenix VID, a ferramenta promete revolucionar investigações de informações mostradas na tela dos dispositivos móveis.

 

Os testes foram conduzidos em smartphones Samsung S4, LG G3 e HTC One. 

 

Isso cria um novo paradigma em investigações forense de celulares, na medida que difere das análises hoje efetuadas na memória em no storage destes aparelhos. Basicamente, o aplicativo trabalha em cima dos dados "em memória" usados pelos aplicativos, que são sumariamente desconsiderados de qualquer proteção - o que nos leva a concluir também que dá oportunidade de recuperação por outras ferramentas (talvez de Goevrnos).

 

A técnica está bem explicada no documento Screen After Previous Screens: Spatial-Temporal Recriation of Android App Display from Memory Images (td. "Tela após Telas Anteriores - Recriação Espaço-Temporal de Telas de Aplicativos Android via Imagens em Memória"), e de um vídeo POC como ferramenta à polícia para capturar novas informaçõe de smartphones que não tenham sido bloqueados e/ou desligados.

 

 

 

Segue um pequeno resumo detalhado do método feito pela Usenix:

"Retroscope é inspirado pela observação que dados internos dos aplicativos mostrados em tela continuam a existir em memória muito depois que as estruturas GUI (interface de usuário) que os empacota e cada aplicativo é capaz de executar um redraw (redesenho) deles, em contexto livre, usando comandos do framework Android. Seguindo esta linha, Retroscope emprega um mecanismo de re-execução intercalada para seletivamente reanimar a funcionalidade de redraw do aplicativo de dentro de uma imagem em memória. Nossa avaliação mostra que Retroscope é capaz de recuperar sets inteiros de telas ordenadas por tempo (cada uma com 3 a 11 telas) de vários aplicativos populares e de diferentes modelos de dispositivos Android."

 

Lembro que a polícia de países mais desenvolvidos possuem técnicas e métodos para preservar o estado de smartphones capturados durante investigações, tendo acesso principalmente às informações que, de outra forma, estariam protegidas por criptografia ou senhas.

 

 

 

 

Please reload

Destaques
Please reload

Posts Recentes

December 12, 2016