Artículo: Espiar el tráfico desde un teléfono inteligente con Wireshark.

Interesante artículo sobre cómo seguir las comunicaciones de nuestro teléfono móvil con la aplicación #Wireshark.

Enlace original: https://null-byte.wonderhowto.com/how-to/spy-traffic-from-smartphone-with-wireshark-0198549/

Traducción:

Entonces, ¿quieres saber qué tráfico está realizando tu teléfono? Si está en la misma red Wi-Fi, es tan simple como abrir Wireshark y configurar algunas configuraciones. Utilizaremos la herramienta para descifrar el tráfico de red WPA2 para poder espiar qué aplicaciones ejecuta un teléfono en tiempo real.

Si bien usar una red encriptada es mejor que usar una abierta, la ventaja desaparece si el atacante está en la misma red. Si alguien más conoce la contraseña de la red Wi-Fi que está utilizando, es fácil ver lo que está haciendo en ese momento usando Wireshark. Puede permitir que un atacante cree una lista de todas las aplicaciones que se ejecutan en el dispositivo al que se dirige y concentrarse en las aplicaciones que podrían ser vulnerables.

Descifrar paquetes cifrados

Cuando usa una red Wi-Fi que usa encriptación WPA2, la seguridad de su sesión se basa en dos cosas. La primera es la contraseña que se usa para generar un número mucho más largo, una PSK o una clave previamente compartida. El segundo es el apretón de manos en sí, que tiene que suceder para establecer una conexión. Si un atacante tiene el PSK en la red Wi-Fi y observa que te unes a la red o te desconecta por un momento, puede descifrar tu tráfico de Wi-Fi para ver lo que estás haciendo.

El contenido de los sitios web HTTPS no podrá verse, pero cualquier sitio web HTTP simple que visite o cualquier aplicación insegura de solicitudes HTTP en su teléfono está a la vista. Puede que esto no parezca un gran problema, pero en solo 60 segundos, es fácil aprender mucho sobre el tipo de dispositivo que estamos monitoreando y qué se está ejecutando exactamente en él. Además, las solicitudes de DNS para resolver los dominios con los que las aplicaciones necesitan hablar para trabajar son fáciles de ver, identificando qué aplicaciones y servicios están activos.

Cómo funciona

Para llevar a cabo este ataque, se deben cumplir algunas condiciones. Primero, necesitamos la contraseña, debemos estar cerca de la víctima para poder registrar el tráfico, y debemos poder expulsar el dispositivo objetivo de la red o esperar a que se reconecte. Abriremos Wireshark y accederemos al menú para descifrar los paquetes de Wi-Fi, agregaremos el PSK para habilitar el descifrado y esperaremos los paquetes EAPOL del dispositivo de destino que se conecta a la red.

Para tener una idea de lo que está haciendo el dispositivo objetivo, utilizaremos filtros de captura para resaltar los paquetes DNS y HTTP que estamos buscando. Para ver una lista completa de todos los dominios que el dispositivo ha resuelto, también podemos ver un resumen de los dominios resueltos una vez completada la captura. Podemos usar esta información para separar fácilmente qué servicios se están ejecutando, incluso si solo se ejecutan en segundo plano y la aplicación no se ha ejecutado en bastante tiempo.

Lo que necesitarás

Para hacer esto, necesitará una tarjeta adaptadora de red inalámbrica capaz de modo de monitor inalámbrico. Puede consultar nuestras guías para seleccionar una que sea compatible con Kali y que admita el modo de monitor.

A continuación, necesitará un teléfono inteligente iOS o Android conectado a la red Wi-Fi que está monitoreando. Puede practicar esto en una red Wi-Fi abierta para ver lo que se supone que debe ver, ya que a veces el descifrado puede no funcionar la primera vez. También necesitará saber la contraseña y el nombre de red de la red Wi-Fi que desea monitorear. Esto le permitirá calcular la clave previamente compartida, lo que nos permitirá descifrar el tráfico en tiempo real.

Paso 1. Descargue Wireshark y conéctese a la red Wi-Fi

Descargue e instale Wireshark si aún no está instalado, y conéctese a la red Wi-Fi en la que se encuentra su destino. Si planea usar un PSK en lugar de una clave de red, debe calcularlo utilizando la herramienta Wireshark antes de hacerlo, ya que es posible que no pueda acceder a Internet durante la captura, dependiendo de su tarjeta.

Una vez que haya descargado Wireshark, ábralo y luego eche un vistazo a sus interfaces de red. Antes de comenzar a capturar, necesitaremos configurar algunas cosas para asegurarnos de que la tarjeta está capturando en el modo correcto.

Paso 2.Configure Wireshark para capturar

En la opción de menú Wireshark, haga clic en el menú «Opciones de captura» en forma de engranaje.

Eso abrirá la ventana de Interfaces de captura , como se ve a continuación.

Paso 3.Comience la captura y escaneo en red para paquetes EAPOL

Si no está conectado a la red en la que se encuentra su destino, no podrá ver ningún paquete porque podría estar en algún otro canal aleatorio. Wireshark no puede cambiar realmente el canal en el que está conectado el adaptador de red inalámbrico, por lo que si no obtiene nada, esa podría ser la razón.

Paso 4.Descifrar el tráfico con la red PSK

Ahora que tenemos apretones de manos, podemos descifrar la conversación desde este punto en adelante. Para hacerlo, necesitaremos agregar la contraseña de red o PSK. Vaya al menú desplegable «Wireshark» y seleccione la opción «Preferencias». Una vez seleccionado, haga clic en «Protocolos».

En Protocolos, seleccione «IEEE 802.11» y luego haga clic en «Habilitar descifrado». Para agregar la clave de red, haga clic en «Editar» junto a «Claves de descifrado» para abrir la ventana para agregar contraseñas y PSK.

Seleccione «wpa-psk» en el menú y luego pegue su clave. Presiona Tabulador , luego guarda haciendo clic en «Aceptar».

Una vez que esto se haya completado, haga clic en «Aceptar» en el menú Preferencias , y Wireshark debería volver a escanear todos los paquetes capturados e intentar descifrarlos. Esto puede no funcionar por una variedad de razones. Pude lograr que funcionara la mayor parte del tiempo asegurándome de tener un buen apretón de manos (EAPOL) y cambiando entre usar una contraseña de red y un PSK. Si funciona, podemos pasar al paso de analizar el tráfico para seleccionar las aplicaciones en uso.

Paso 5.Escanee en busca de paquetes DNS y HTTP

Ahora que hemos eliminado la protección alrededor del tráfico, Wireshark puede descifrarlos y decirnos qué están haciendo los dispositivos en esta red Wi-Fi para los que tenemos apretones de manos en tiempo real.

1 solicitudes de DNS

Para ver paquetes interesantes, comenzaremos con las solicitudes de DNS. Las solicitudes de DNS son cómo las aplicaciones se aseguran de que las direcciones IP a las que deben conectarse no hayan cambiado. Serán dirigidos a nombres de dominio que generalmente tienen el nombre de la aplicación, lo que hace que sea trivial ver qué aplicación se está ejecutando en el teléfono iPhone o Android y hacer las solicitudes.

Para ver estas solicitudes, utilizaremos dos filtros de captura, dns y http , que nos mostrarán las huellas digitales más obvias que deja una aplicación a través de Wi-Fi. Primero, escriba dns en la barra de filtro de captura y presione Entrar . Si esto no funciona, intente cambiar entre un PSK y una contraseña varias veces. Es una mierda, pero a veces comenzará a funcionar.

Si su objetivo se siente solo, puede ver la respuesta a continuación. Tinder llama al dominio Tindersparks.com, así como a muchos otros servicios. Esta solicitud es una de las más obvias.

Si bien usar Signal es una buena idea, usarlo con una VPN es una mejor idea. ¿La razón? Incluso abrir Signal crea el intercambio a continuación, identificando claramente que el usuario se está comunicando con un mensajero cifrado.

Intentar encontrar esa canción que suena con Shazam deja la siguiente huella digital.

Abrir la aplicación para llamar a un Uber crea las solicitudes que ves a continuación.

A continuación, vemos el efecto de abrir Venmo y una aplicación para transferir dinero. Parece un buen momento para redirigir esta solicitud a otra parte.

2 paquetes HTTP

A continuación, podemos ver que hay varias solicitudes web inseguras usando el filtro de captura http . Estos filtros de captura contienen información como el agente de uso, que nos dirá el tipo de dispositivo que se está conectando. Podemos examinar esto haciendo clic en los paquetes y expandiendo la pestaña «Protocolo de transferencia de hipertexto».

En este ejemplo, podemos ver solicitudes HTTP inseguras a un servidor de chat. ¿Qué diablos es esto? Simplemente examinar el paquete y resolver el dominio nos da la respuesta de inmediato. ¡Es WeChat! Este teléfono tiene instalado WeChat y, además, las comunicaciones que salen de él no están completamente encriptadas.

Si queremos ver todo lo que se resolvió, podemos hacer clic en la pestaña del menú «Estadísticas» y seleccionar «Direcciones resueltas» para ver todos los dominios que se resolvieron durante la captura. Esta debería ser una lista exhaustiva de servicios a los que el dispositivo se conecta a través de las aplicaciones que se ejecutan en él.

Este desglose hace que sea aún más fácil ver qué estaba haciendo el objetivo.

Wireshark hace de las redes Wi-Fi una cosa arriesgada en la que confiar

Este tipo de monitoreo puede parecer invasivo, pero debe tener en cuenta que su proveedor de servicios de Internet también mantiene un registro de esta información y tiene el derecho de venderla. Si desea evitar este tipo de espionaje, debe obtener una VPN como Mullvad o PIA que le permite ocultar incluso el tráfico local detrás de un cifrado seguro. En un lugar donde podría estar haciendo algo sensible a través de una conexión de datos, también debe considerar el uso de datos celulares siempre que sea posible para evitar este tipo de ataque.

¡Espero que hayas disfrutado de esta guía para usar Wireshark para espiar el tráfico de Wi-Fi! Si tiene alguna pregunta sobre este tutorial sobre descifrado de Wi-Fi, deje un comentario a continuación y no dude en comunicarse conmigo en Twitter @KodyKinzie .

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.