UNIVERSIDAD NACIONAL DE INGENIERA

FACULTAD DE INGENIERA INDUSTRIAL Y DE

SISTEMAS
DEPARTAMENTO DE SISTEMAS Y TELEMATICA

Segunda Monografa

Anlisis forense en la red y en los dispositivos

Android Aplicaciones de mensajera social

Curso: Seguridad Informtica

Docente: Isaac Ernesto Bringas Masgo

INTEGRANTES:
Alccer Snchez, Fredy
Mamani Monzn, Wilfredo Vctor

19941027H
19790778J

2015-2

Plantilla de Informe del Paper

Author (s): Daniel Walnycky, Ibrahim Baggili,Andrew Marrington, Jason Moore y Frank
Breitinger
Ttle of paper: Network and device forensic analysis of Android social-messaging applications
Journal: www.elsevier.com/locate/diin
Volume (issue): Digital Investigation 14
pag pag (year): 77 84 (2015)

Problema
La adquisicin y anlisis forense de los datos almacenados en los dispositivos Android y el trfico
en la red de aplicaciones de mensajera instantnea ms populares. Se ha reconstruido una parte o
la totalidad del contenido de mensajes en 16 de 20 aplicaciones probados, lo que refleja las bajas
medidas de seguridad y privacidad empleados por estas aplicaciones, pero pueden ser interpretados
positivamente con fines de recoleccin de prueba por los profesionales forenses digitales.
Estado del arte que hace el autor
Los telfonos mviles y sus aplicaciones pueden estar involucrados en una gran variedad de casos
criminales, incluyendo fraude, robo, lavado de activos, la distribucin ilcita de material con
derechos de autor o de imgenes de pornografa infantil, o incluso la distribucin de malware en los
casos de delitos informticos (Taylor, 2012).
Incluso antes de los smartphones modernos, mensajes de texto SMS guardados en la tarjeta SIM
GSM eran un objetivo importante para los examinadores forenses (Willassen, 2003).
Adems de los rastros de las comunicaciones del sospechoso, el telfono de un sospechoso puede
contener pruebas relacionadas con su ubicacin, y con el advenimiento de los telfonos
inteligentes, que puede contener la misma rica variedad de pruebas digitales que pueden ser
encontrados en los sistemas informticos (Lessard y Kessler, 2010).
Aplicaciones mviles para plataformas de mensajera instantnea o redes sociales populares han
sido objeto de numerosos estudios en la literatura forense digital. Tcnicas forenses informticos
estn descritos en la literatura para el examen de los artefactos de AOL Instant Messenger
(AIM) (Reust, 2006; Dickson, 2006a), Yahoo! Messenger (Dickson, 2006b), otras aplicaciones de
mensajera instantnea instalado (Dickson, 2006c; Dickson , 2007), los clientes web para
aplicaciones de mensajera instantnea populares (Kiley et al., 2008), y las caractersticas de
mensajera instantnea de sitios web de redes sociales como Facebook (Al Mutawa et al., 2011).
A medida que estas plataformas de mensajera instantnea del mundo del PC emigraron al
smartphone con sus propias aplicaciones mviles, tambin lo hizo la comunidad forense digital
pasar a investigar los rastros de actividad que dejan estas aplicaciones en dispositivos
mviles (Husain y Sridhar, 2010; Al Mutawa et al. , agosto de 2012). Adems de estas
importaciones desde el PC, aplicaciones de redes sociales y mensajera instantnea se han
desarrollado principalmente para el smartphone.

Anglano analiz WhatsApp en los dispositivos Android en software emulado en el trabajo reciente
que proporciona examinadores forenses con informacin sobre qu datos se almacenan en el

dispositivo Android de la aplicacin WhatsApp, facilitando la reconstruccin de las listas de

contactos y conversaciones de texto (Anglano, 2014).

Aunque algunos de estos fallos de seguridad pueden ayudar a la comunidad forense digital para
recuperar la ms evidencia digital desde estos dispositivos, es evidente que el potencial para la
explotacin de estas vulnerabilidades por agentes maliciosos conducir a mayores incidentes de
ciberdelincuencia focalizados en dispositivos mviles. El trabajo complementa la literatura
existente mediante el empleo de la ciencia forense de la red, as como anlisis forense de
dispositivos para proporcionar una visin ms integral de lo que la evidencia se puede obtener de
las aplicaciones de mensajera en los dispositivos Android.
El trabajo tambin arroja luz sobre los problemas de privacidad potenciales que surgen de las
implementaciones de seguridad dbiles en las aplicaciones probadas.
Importancia
En este trabajo se ha investigado 20 aplicaciones de Android a travs del anlisis del trfico de la
red y anlisis almacenamiento del servidor / dispositivo. Esto se realiz con el fin de examinar la
evidencia digital que podra ser de valor para los examinadores forenses y tambin para evaluar la
seguridad de las aplicaciones en el envo / recepcin de datos y la aplicacin privacidad en el
almacenamiento de datos. El trabajo mostr una variedad de resultados. No fueron capaces de
recuperar cualquier informacin relacionada con el usuario de SNAPCHAT, Yesca, Wickr o
BBM. En los 16 restantes solicitudes, fueron capaces de reconstruir al menos alguna evidencia de
los datos no cifrados que fue enviado y / o recuperados por nuestro dispositivo. A pesar de las
ventajas para la comunidad forense digital, estos hallazgos son problemticas desde una
perspectiva de la privacidad del usuario. Sera muy fcil para un usuario nefasto para sentarse en un
lugar pblico con WiFi gratuito, como un caf, el aeropuerto o en la biblioteca, y la captura de
grandes volmenes de comunicaciones personales, tanto en forma de mensajes de texto y fotos
compartidas. El hecho de que muchas de estas aplicaciones almacenan enviados/recibidos en
medios de sus servidores en un formato sin cifrar con ningn mtodo de autenticacin de usuario
tambin es problemtico. Parece que la nica proteccin de la privacidad del usuario en lugar de
dicho contenido es el anonimato de la URL.
En general, la investigacin muestra que muchas aplicaciones de mensajera populares tienen
algunas vulnerabilidades importantes en trminos de cmo se almacenan y transmiten datos. Desde
una perspectiva forense esto facilita la reconstruccin potencial de grandes partes de la actividad de
mensajera instantnea de usuario, pero desde una perspectiva de privacidad tambin expone las
comunicaciones personales de los usuarios a potencialmente malvolas a terceros.
Motivacin del autor (crticas del autor a otros trabajos)
La existencia de una variedad de aplicaciones para envo de mensajes instantneos en una
plataforma abierta y conjuntamente con la falta de cultura de seguridad por parte de los usuarios, la
oferta cada vez ms creciente de aplicaciones gratuitas populares, la sofisticacin de personas sin
escrpulos en apoderarse de la informacin privada de usuarios con fines delincuenciales son
motivos ms que suficientes para los autores en realizar este trabajo.
Descripcin del aporte del autor
Desde la perspectiva de la privacidad del usuario los resultados son obviamente problemticos,
desde una perspectiva legal de vigilancia y anlisis forense, es bienvenida. Con la combinacin de
anlisis de trfico de red y el anlisis de almacenamiento del dispositivo, se ha creado una vista de
360 grados de las interacciones de un usuario dentro de estas aplicaciones a travs de la
observacin de los datos.

A pesar de que no se ha creado un nuevo mtodo para el anlisis de trfico, se sostiene que los
hallazgos son muy relevantes para la comunidad forense. Estos hallazgos sirven como comentario
sobre el estado de las aplicaciones de mensajera en el Mercado de Android hoy. El objetivo de
aumentar la sensibilizacin de los usuarios al mostrar una capa de transparencia para las
aplicaciones probadas para eliminar las suposiciones acerca de la seguridad y la privacidad dentro
de ellos, sino tambin para mostrar cmo algunos investigadores pueden reconstruirse fcilmente
evidencia digital. Este trfico de red sin cifrar y el almacenamiento de datos sin cifrar ha
demostrado ser una rica fuente de evidencia digital para los casos posibles. Los protocolos
utilizados por estas aplicaciones dejan a los usuarios expuestos a escuchas telefnicas debido a que
sus desarrolladores no ofrecen cifrado de extremo a extremo.
Proceso para obtener el aporte que considera el autor
Como muestra el siguiente grafico consiste en capturar las seales trasmitidas por las victimas
(Target Android Device) en una red abierta por un tercero (Other participant) de las aplicaciones de
mensajera instantnea los cuales envan datos que no estn cifrados.

Figura 1.
Proceso para resolver el problema considerado por el autor
Los autores seleccionaron 20 aplicaciones de mensajera / mensajera instantnea sociales de la
tienda Play Google basado en dos factores: resultados de palabras clave y el nmero de
descargas. Las palabras clave utilizadas en la bsqueda de la tienda Play Google fueron: "chat",
"chat", "fecha", "citas", "mensaje" y "mensajes" para seleccionar las 20 aplicaciones. Dentro de
estos resultados se ha seleccionado una amplia gama de aplicaciones basado en un espectro de
popularidad. Las aplicaciones seleccionadas son las que tienen ms de 500.000 descargas de ms
de 200 millones de descargas. Se han centrado en las secciones de estas aplicaciones con uno en

una comunicacin. Por ejemplo, slo se estudi el "Instagram caracterstica directa" y no la funcin
de alimentacin Instagram. Otro ejemplo es que slo estudiamos los mensajes directos en
SNAPCHAT y no en el "Historial de SNAPCHAT". Se realiz anlisis forense de redes para
examinar el trfico de red hacia y desde el dispositivo durante el envo de mensajes y el uso de las
diversas caractersticas de estas aplicaciones. Esta prueba se realiz en un entorno de laboratorio
controlado para reducir la variabilidad de red debido a dispositivos smartphone menudo operan en
el cambio de lmites de la red. Tambin se realiz un examen forense del dispositivo Android en s
para recuperar informacin desde el dispositivo correspondiente a nuestras actividades utilizando
cada una de las aplicaciones.
La tabla 5 muestra una lista de las aplicaciones probadas en el orden en que fueron probados, sus
nmeros de versin y las caractersticas ellos apoyan.
Configuracin experimental del anlisis de redes.
En la investigacin se ha utilizado un HTC Uno M8 (Modelo #: HTC6525LVW, corriendo Android
4.4.2), as como un iPad 2 (Modelo #: MC954LL / A, con iOS 7.1.2). Se ha creado dos cuentas para
cada aplicacin con el Android y el iPad 2 a la semana antes de la recogida de datos. El dispositivo
Android fue objeto de nuestro examen, y el iPad se utiliza simplemente como un interlocutor de
comunicacin para el intercambio de mensajes con el dispositivo de destino. Se utiliz un equipo
con Windows 7 con WiFi y una conexin Ethernet a Internet para configurar un punto de acceso
inalmbrico. Este PC se utiliza para capturar el trfico de red enviado a travs de WiFi desde y
hacia ambos dispositivos mviles.
Se ha utilizado Wireshark para capturar y guardar el trfico de red. La tabla 1 contiene la

relacin completa de aplicaciones utilizadas para realizar la investigacin.

Tabla 1
Despus de adquirir la captura del trfico de archivos, se examinaron con Wireshark,
NetworkMiner y NetWitness Investigator. (Un diagrama completo de esta configuracin se muestra
en la Fig. 1), posteriormente se realiz una serie de acciones, para reconstruir a travs del anlisis
forense del dispositivo Android y el trfico de la red. Dado que cada aplicacin en nuestro banco de
prueba tena diferentes capacidades (como se indica en la Tabla 5), las acciones que realiza vari
entre cada aplicacin porque queramos examinar todos los tipos de mensajes soportados.
Se utiliz un grupo de tipos de pruebas para seleccionar a partir de: fotos, videos y palabras de
texto sin formato. Los mensajes enviados y recibidos fueron seleccionados de este grupo porque
tienen que ver con el aspecto de la comunicacin, que los autores sostienen debe ser privado, y es
una rica fuente de evidencia digital. Las evidencias encontradas en el seguimiento realizado
fueron documentadas inmediatamente. Utilizamos Microsystemation de XRY para realizar una
adquisicin lgica del dispositivo Android. XRY es de confianza pora la polica, militares y
laboratorios forenses en ms de 100 pases para ayudar en las investigaciones forenses digitales.
Se ha realizado la validacin cruzada utilizando la alternativa libre : Helium backup para

recuperar informacin de los archivos .db archivos, a continuacin, utilizando extractor de copia de
seguridad de Android y el navegador de base de datos SQLite para ver el contenido del .db
archivos.

Las evidencias encontradas en los archivos .db que contiene registros de chat y/o
informacin de usuario fue documentada.
De las aplicaciones seleccionadas la tabla 2 muestra las que no tienen vulnerabilidades para el
grupo de pruebas realizada.

Tabla 2

La tabla 3 muestra la relacin de archivos de usuario o aplicaciones de servidor que no estaban

encriptados al momento de realizar las prueba.

Tabla 3

Registro de chat en las bases de datos de las apps se muestran la tabla 4

Tabla 4
La tabla 5 muestra la relacin de las aplicaciones sometidas a las pruebas, sus capacidades,
actividades realizadas y dems.

Tabla 5
Mtricas que el autor usa y resultado que obtiene.
Cuatro de las aplicaciones de veinte, a saber, SNAPCHAT, Yesca, Wickr y BBM, cifran su trfico
de red mediante HTTPS cifrado mediante certificados SSL. Los autores no fueron capaces de
reconstruir los datos de estas aplicaciones a travs de anlisis de trfico, el anlisis de
almacenamiento de datos, y el anlisis de almacenamiento del servidor debido a la

encriptacin. Los resultados globales se muestran en la Tabla 2. La inspeccin de paquetes no era

posible con estas aplicaciones cifrados. Sin embargo, durante la investigacin se ha encontrado que
16 de las 20 aplicaciones probadas tenan sin encriptar el trfico en la red y / o almacenamiento de
datos sin cifrar de algn tipo. La falta de cifrado de extremo a extremo puede ser debido a los
recursos disponibles para los desarrolladores o porque las compaas consideran estos datos como
no invasiva a la privacidad. Los autores asumen que las organizaciones que no gastan recursos para
cifrar su trfico estn creando potenciales agujeros de seguridad / privacidad.
No hay trminos de polticas de servicio o la seguridad / privacidad que se leyeron antes de la
investigacin. Las pginas de aplicacin en la Google Play Store o bien no reconocen la seguridad /
privacidad o de referencia de seguridad / privacidad como un elemento clave. La nica excepcin
fue Wickr, que hizo hincapi en la seguridad / privacidad. Tambin los autores sealan que los
falsos positivos se produjeron cuando los anuncios y perfil de imgenes en miniatura estaban sin
cifrar, pero se cifran el contenido del usuario. Estos casos no fueron documentados como
evidencia. Los falsos negativos tambin ocurrieron cuando encontramos rastros de actividad
utilizando una herramienta, pero no en otro. Por lo tanto, para la reconstruccin del trfico, los
autores realizaron una validacin cruzada de los resultados utilizando Wireshark, NetworkMiner y
NetWitness Investigator.

Observaciones y/o crticas suyas al artculo

El estudio se basa en exponer las aplicaciones de mensajera instantnea que no tienen
implementado mecanismos de encriptacin o desencriptacin.
No expone un nuevo mtodo de vulneracin de seguridad (un nuevo algoritmo), se apoya en
aplicaciones de terceros licenciados los cuales son contrastados con aplicaciones de anlisis forense
de cdigo abierto.
Por otro lado, los autores no hallaron el medio de notificar a las empresas u organizaciones que
desarrollan dichas aplicaciones de las vulnerabilidades de sus productos.
Estas vulnerabilidades de la seguridad y privacidad no estn masivamente difundidas, sino en
pequeos crculos acadmicos.
En este tipo de investigacin es importante impulsar a los desarrolladores y usuarios a preocuparse
ms por la seguridad y la privacidad. Una amplia gama de aplicaciones que se ha probado fracas
para cifrar sus datos en una forma u otra.