Home / Segurança da Informação, Cibersegurança e Forense / Como realizar interceptação de tráfego de dados com seu iPhone
interceptação de trafego de dados com iPhone

Como realizar interceptação de tráfego de dados com seu iPhone

Você sabe quais são os principais métodos para captura e interceptação de tráfego de dados de rede?

São diversas maneiras possíveis, pelos mais variados dispositivos. Você pode usar desde a mais simples, usando um servidor Proxy, até uma interface de rede virtual (RVI), caso queira uma análise mais detalhada do tráfego de uma aplicação que utilize outras portas de comunicação, que não somente requisições WEB.

Aprenda, passo a passo, como realizar essa atividade com seu iPhone, usando diferentes abordagens.

Utilizando um servidor Proxy – BURP

Quando mencionamos a utilização de um servidor proxy, estamos basicamente nos referindo a interceptar e analisar solicitações relacionadas ao protocolo HTTP (Hypertext Transfer Protocol), seja esse com a camada de segurança TLS (Transport Layer Security) ou não.

Algumas das aplicações que temos em nossos smartphones ainda utilizam somente o protocolo HTTP, o que significa dizer que os dados trafegam na forma de texto plano, ou seja, sem qualquer criptografia, fazendo com que informações sensíveis fiquem totalmente expostas a qualquer atacante que adotar técnicas man in the middle.

Para configuração de nosso proxy o primeiro passo é abrirmos o BURP, por padrão a interface que ele escutará será o próprio equipamento, ou seja, o endereço IP 127.0.0.1 e porta 8080 conforme podemos verificar na imagem abaixo:

Tráfego de dados - servidor Proxy – BURP

No BURP toda captura está por padrão relacionada a máquina local, porém para executarmos nossa estratégia de interceptação dos dados que chegarão ao nosso servidor por meio do iPhone precisaremos adicionar o IP interno da máquina local no campo de Specific address.

Tráfego de dados - servidor Proxy – BURP 2

Vejam que neste caso adotamos o IP 192.168.1.102 com a porta 8081.

Uma vez o BURP configurado, vamos ao iPhone:

BURP iphone

Vejam que o endereço IP associado ao iPhone não tem relação alguma com o servidor proxy, porém é óbvio que terão que estar na mesma rede para que o tráfego possa ser capturado.

Proxy iPhone-exemplo4

Assim que finalizamos a configuração do iPhone para utilizar o BURP como o nosso servidor proxy já podemos ver alguns pacotes, isso ocorre, pois diversas aplicações ficam rodando em background, normalmente atualizações, updates de e-mails, entre outros.

Abaixo temos um exemplo de pacote interceptado com o método POST em conexão com o office365 para atualização de e-mail, reparem que o DeviceType já é identificado como sendo um iPhone.

método POST

Para demonstração foi utilizado um aplicativo real da área da saúde. Por questões éticas, obviamente, mantive os dados ocultados.

Podemos analisar que, quando abrimos o aplicativo em nosso smartphone, já são executadas requisições API ao servidor para troca de informações e com isto já visualizamos os pacotes conforme imagem abaixo:

método POST iphone-exemplo6

Apesar de ser uma aplicação de necessidade de alto nível de sigilo de informações, os dados são trafegados em texto plano, ou seja, sem nenhuma criptografia envolvida.

Conforme podemos verificar na imagem abaixo não estamos ainda falando de credenciais de acesso, mas de todo modo são dados sensíveis, como por exemplo o número de beneficiário e telefone.

interceptação-de-tráfego-de-dados-com-iPhone-7

Infelizmente, nessa aplicação, não só os dados sensíveis anteriormente destacados são trafegados em texto plano, mas também as credenciais de acesso (usuário e senha) como podemos ver na imagem abaixo:

exemplo interceptação de tráfego de dados com iPhone

Isso significa que se tivéssemos alguém conectado na mesma rede, por exemplo uma rede wifi de aeroporto, cafeteria etc., e estivesse rodando um analisador de tráfego onde abríssemos esse aplicativo, teríamos nossos dados vazados de usuário e senha (Ataque Man in the middle).

Cyber Security e TI: estratégias e tendências

Assista agora ao webinar “Cyber Security e TI: estratégias e tendências”, com Andrea Thomé, Líder Brasil da WONCY e Viviane Martins, Security Services Associate Project Managaer na IBM. 

Utilizando uma interface de rede virtual (RVI) – Wireshark

Se o seu objetivo for uma análise mais detalhada do tráfego de uma aplicação que utilize outras portas de comunicação, que não somente requisições WEB, podemos diversificar a estratégia e utilizar uma interface de rede virtual (RVI).

Essa outra abordagem analisa todo o tráfego de rede que ocorre entre o iPhone e os servidores das aplicações, agora não mais focado somente em aplicações e requisições WEB (HTTP), mas sim em diferentes protocolos.

Para implementarmos, iniciamos com a conexão do nosso iPhone via USB ao computador que rodará o Wireshark para a coleta dos dados, na sequência realizaremos a criação da RVI (Remote Virtual Interface) onde necessitaremos passar como parâmetro o UUID (Universal Unique Identifiers) do iPhone.

Pelo próprio “Finder” é possível descobrir o UUID do aparelho, basta clicar no nome do dispositivo conectado e surgirá a informação conforme imagem abaixo:

interceptação de tráfego de dados com iPhone

Tendo o UUID do aparelho e com ele conectado, é necessário ativar a interface virtual (RVI), através do seguinte comando:

interceptação de tráfego de dados com iPhone exemplo

Após recebermos a mensagem de SUCCEEDED, estamos prontos com a interface ativada e então poderemos seguir para a abertura do analisador de tráfego de rede Wireshark e selecionar a interface rvi0.

interceptação de tráfego de dados wireshark

Neste exemplo, e até para fins de comparação com o modelo anterior, adotamos o mesmo aplicativo da área da saúde e aplicamos um filtro básico (ip.src == 192.168.1.23) para facilitar a visualização de somente o IP de origem (iPhone).

É possível visualizarmos protocolos de diferentes camadas do modelo OSI, neste exemplo, temos protocolos da camada de transporte (TCP) e da camada de aplicação (HTTP) como pode ser visto na imagem abaixo:

interceptação de tráfego de dados com iPhone exemplo

Analisando somente os pacotes HTTP, é possível examinar as mesmas informações que visualizamos anteriormente no BURP.

Portanto, se abrirmos o conteúdo de nosso pacote selecionado, teremos também todas as informações de credenciais anteriormente demonstradas, conforme imagem abaixo:

interceptação de tráfego de dados com iPhone

Conclusão

Existem diferentes abordagens em relação a captura de tráfego de dados via iPhone. Na primeira parte demonstramos a técnica com a adoção de um servidor Proxy (BURP) onde foi possível analisar os pacotes relacionados a requisições WEB, esta técnica é de mais fácil implementação, porém muitas vezes limitada.

Já na segunda parte demonstramos uma análise de maior amplitude onde foi possível verificar que protocolos de diferentes camadas também podem ser analisados, portanto, a depender do objetivo almejado e/ou da forma de comunicação da aplicação, este pode ser mais adequado.

Vale lembrar que ambas as técnicas são complementares, portanto, dependendo do seu objetivo final de análise da aplicação, ambas podem ser combinadas.

O caminho das pedras está dado, agora é contigo em seguir para a análise aprofundada de suas aplicações.

Stay Safe

 

Você gostaria de se tornar um especialista altamente qualificado na área de Cyber Security? Então confira nossos cursos de pós-graduação e aprenda na prática com aulas hands-on:

·         Pós-graduação Cyber Security

·         Pós-graduação Cyber Threat Intelligence

Sobre Jordan M. Bonagura

mm
CISO e Pesquisador em Segurança da Informação – CEH Hacker IS NOT a Crime Advocate Fundador do Projeto Stay Safe (Revista e Podcasts) Graduado em Ciência da Computação Pós-graduado em Gestão Estratégica de Negócios, Docência e Estratégia para Empresas Organizador da Vale Security Conference – Brasil Membro Diretos do Cloud Security Alliance – Brasil Membro da Comissão de Crimes de Alta Tecnologia da OAB Professor e Coordenador de Curso em TI Fundador do SJC Hacker Clube Palestrante em eventos de segurança da informação (AppSec Califórnia, GrrCon,, Angele Y Demonios, BSides Augusta, BSides SP, BalCConf2k14, H2HC, SegInfo, ITA, INPE, CNASI, RoadSec, entre outros)

Confira tambem

Ransomware: entenda a ciberameaça que paralisou o maior grupo varejista do Brasil

Ransomware: entenda a ciberameaça que paralisou o maior grupo varejista do Brasil

Em agosto de 2021, mais uma grande empresa se tornou vítima de ransomware, um tipo …

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *