Анализ данных и мгновенное извлечение паролей из мессенджеров

24 августа, 2021, Oleg Afonin
Рубрика: «Разное»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

iMessage, Hangouts, Skype, Telegram, Signal, WhatsApp — эти приложения для мгновенного обмена сообщения постоянно на слуху. Проблема с безопасностью в любом из этих приложений немедленно попадает в новостные ленты, а возможность мгновенно извлечь оригинальный пароль — проблема из разряда серьёзнейших. Неудивительно, что пароль от учётной записи из этих приложений извлечь нельзя — по крайней мере, не из самого приложения и не из сохраняемых им на компьютере данных. Но есть и другие, менее распространённые программы. alTalk, Pigin, Psi Jabber client, Gadu-Gadu, Gajim, Trillian, BigAnt и Brosix — все их объединяет халатное отношение к безопасности, позволяющее извлечь и расшифровать оригинальный пароль от соответствующей учётной записи. Что для этого нужно и как это сделать — тема сегодняшней статьи.

Хранят ли мессенджеры пароли?

Как работает аутентификация в программах мгновенного обмена приложениями? Для чего используется пароль, нужен ли он для входа в учётную запись и хранится ли где-нибудь? В каждом конкретном приложении используется свой, зачастую — уникальный подход, в ряде случаев позволяющий некоторые вольности даже тогда, когда оригинальный пароль извлечь не удалось.

К примеру, WhatsApp не использует пароль вообще. В процессе входа в учётную запись осуществляется привязка устройства по номеру телефона. При этом авторизация нового устройства отменяет авторизацию предыдущего: WhatsApp может работать на единственном смартфоне, а приложение для компьютера требует привязки к устройству с SIM-картой. При этом первая перепривязка возможна в любой момент, а для перепривязки во второй и последующие разы предусмотрена увеличивающаяся задержка. В качестве второго фактора аутентификации пользователь может выбрать PIN-код, который используется только для подтверждения входа в учётную запись и не сохраняется на устройстве.

Извлечь или восстановить любой атакой пароли от WhatsApp или Telegram невозможно. (Отмечу в скобках, что пароль, защищающий вход в учётную запись, не имеет отношения к защите самого мобильного приложения PIN-кодом. В Telegram для Android обе настройки находятся в разделе Settings – Privacy & Security; Passcode Lock относится к защите приложения, а Two-Factor Authentication настраивает пароль в качестве второго фактора на вход в учётную запись Telegram).

Совершенно иначе работает аутентификация у Skype. Выпущенный в давние времена независимой компанией, Skype не использовал привязку к телефонному номеру, полагаясь на стандартный способ аутентификации по логину и паролю. После покупки компанией Microsoft пользователи смогли входить в учётные записи Skype, авторизуясь в учётной записи Microsoft Account. На компьютерах с Windows 8 и Windows 10 вход в Skype с данными Microsoft Account и вовсе происходит автоматически: мессенджер просто использует уже имеющиеся в системе реквизиты для входа.

Такой подход, с одной стороны, всё ещё не позволяет извлечь пароль (он не хранится ни в открытом, ни в зашифрованном виде), но позволяет проделать следующие вещи:

  1. Провести атаку на пароль к Microsoft Account, который пользователь использует для входа в Windows. Это не сработает, если для входа в систему используется локальная учётная запись, не привязанная к Microsoft Account. В то же время в случае, когда такая привязка есть (т.е. для входа в систему используются учётные данные Microsoft Account), атака происходит с высокой скоростью, а восстановленный в результате пароль позволяет авторизоваться в Skype, получить доступ к файлам OneDrive, включая содержимое «персонального сейфа», и проделать ряд других следственных действий, описанных в статье Анализ данных из учётных записей Microsoft: Timeline, OneDrive и Personal Vault | Блог Элкомсофт (elcomsoft.ru). Как именно восстановить пароль от учётной записи Windows? Способов множество. Самый быстрый из них — загрузить систему с использованием Elcomsoft System Recovery, извлечь базы данных с хэшами паролей и запустить атаку в Distributed Password Recovery. Возможные подводные камни – шифрование диска BitLocker и использование двухфакторной аутентификации для защиты учётной записи: Microsoft может затребовать дополнительную верификацию даже в случаях, когда двухфакторная аутентификация не включена.
  2. Извлечь пароли из связки ключей iOS при помощи Elcomsoft Phone Breaker, если есть доступ к соответствующему устройству пользователя. Вам понадобится пароль от учётной записи Microsoft, который можно найти по входам на сайты hotmail.com, live.com, outlook.com, microsoft.com, office.com и некоторым другим.
  3. Извлечь пароли из учётной записи Google программой Elcomsoft Cloud Explorer. Сработает только в том случае, если вы знаете пароль пользователя от учётной записи Google Account.
  4. Если у вас есть доступ к авторизованной сессии (анализ загруженной системы с залогиненным пользователем), то самый простой способ — извлечь пароли, которые хранятся в веб-браузере пользователя программой Elcomsoft Internet Password Breaker.
  5. Ещё одна возможность, доступная, если у вас есть доступ к авторизованной сессии, а пароля к учётной записи не обнаружено, — перенос сохранённых реквизитов для входа в Skype с компьютера пользователя на другой, с которого будет осуществляться анализ. Для этого используется Advanced IM Password Recovery — функция «копирование/восстановление данных авторизованной сессии (Skype)».

Установленный на компьютере мессенджер Signal не использует для привязки пароль (и, соответственно, не сохраняет его). Сопряжение установленной на компьютер копии Signal с версией приложения на смартфоне производится в интерактивном режиме, причём доступа к истории переписки со всеми ранее отправленными и полученными сообщениями у свежеустановленной копии Signal не будет. Извлечь историю переписки Signal из телефона — достаточно сложная (но — решаемая) задача, даже если есть низкоуровневый доступ к файловой системе.

Извлечение паролей

Выше мы рассмотрели способы аутентификации и привязки к устройствам популярных программ мгновенного обмена сообщениями. Способы аутентификации они используют разные, но все они в достаточной мере безопасны. Между тем, существует немалый пласт мессенджеров, разработчики которых о безопасности если и думали, то исключительно в ключе «и так сойдёт». К таким приложениям относятся мессенджеры из следующего длинного списка: ICQ и ICQLite, AOL Instant Messenger, AIM Triton, AIM Pro, Yahoo! Messenger, MSN Messenger, Windows Live Messenger, Google Talk, Trillian и Trillian Astra, Odigo, Jabber IM, популярный альтернативный клиент ICQ — Miranda, Tencent QQ, Ipswitch Instant Messenger, Psi Jabber client, QIP Infium, Gizmo Project, MySpace IM, Exodus, Gadu-Gadu, Mail.Ru Agent, Just Another Jabber Client, Pidgin и многие другие, перечисленные на странице продукта. Не так давно этот список был расширен: мы добавили поддержку мессенджеров PalTalk, Pigin, Psi Jabber client, Gadu-Gadu, Gajim, Trillian, BigAnt, Brosix.

Для любого из этих мессенджеров наше приложение Advanced IM Password Recovery предоставляет возможность извлечения логинов и паролей, во многих случаях — мгновенно. Общее число поддерживаемых программ мгновенного обмена сообщениями — более 70. И хотя далеко не все из них дожили до наших дней, многие программы до сих пор пользуются (не)заслуженной популярностью.

Впрочем, свежие версии некоторых из перечисленных приложений не хранят оригинальные пароли на компьютере пользователя. Для таких программ поддерживается извлечение данных, необходимых для последующей аутентификации в сервисе с целью переноса авторизованной сессии на другой компьютер. Остановимся на ней подробнее. Эта функция используется для таких приложений, как Skype, которые не не хранят пароль на компьютере. Для них поддерживается функция копирования и восстановления данных аутентификации, что позволяет перенести авторизованную сессию с компьютера пользователя на компьютер эксперта, позволяя проводить экспертизу на собственном компьютере эксперта, а не на компьютере пользователя.

Заключение

Мы рассмотрели основные способы получения доступа как к данным популярных программ мгновенного обмена сообщениями, так и к паролям к соответствующим учётным записям. В нашей статье Сравнительный анализ безопасности iMessage, WhatsApp, Telegram, Signal и Skype перечислены основные особенности защиты истории переписки нескольких мессенджеров, работающих на устройствах под управлением iOS, а также описаны различные способы извлечения этих данных из устройств и облачных сервисов.


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

REFERENCES:

Advanced IM Password Recovery

Восстановите логин и пароль к различным программам для обмена сообщениями. Advanced IM Password Recovery полностью нейтрилизует защиту учетных записей программ-мессенджеров и восстанавливает пароли к большинству программ для обмена быстрыми сообщениями. Advanced Instant Messengers Password Recovery поддерживает более 70 популярных программ, таких как QIP, агент Mail.ru, ICQ, Skype, Miranda, AOL, MSN и Yahoo!

Официальная страница Advanced IM Password Recovery »


Elcomsoft Cloud eXplorer

Elcomsoft Cloud Explorer – инструмент для доступа к информации из Google Account как с паролем, так и без него. Извлекаются записи и заметки Google Keep, синхронизированные контакты, закладки, пароли и история просмотра страниц из браузера Chrome, история поисковых запросов, данные о местоположении пользователя, календари и многое другое. Для доступа требуются данные учётной записи Google. Поддерживается двухфакторная аутентификация.

Официальная страница Elcomsoft Cloud eXplorer »


Elcomsoft Internet Password Breaker

Elcomsoft Internet Password Breaker мгновенно находит пароли для веб-сайтов, учётных записей, а также почтовых ящиков, хранимые в различных приложениях. Поддерживая все популярные браузеры, а также все версии Outlook Express, Microsoft Outlook, Windows Mail и Windows Live Mail, Elcomsoft Internet Password Breaker поможет вам получить логин и пароль для большого количества ресурсов.

Официальная страница Elcomsoft Internet Password Breaker »


Elcomsoft Phone Breaker

Инструмент для криминалистов, извлекающий и расшифровывающий данные из резервных копий устройств iOS, Windows Phone и BlackBerry и соответствующих облачных сервисов. Доступ в iCloud по паролю либо маркеру аутентификации, извлечённому из компьютера пользователя. Поддержка двухфакторной аутентификации. Расшифровка Keychain и ускорение перебора паролей на видеокартах AMD и NVIDIA. Словарные атаки для ускоренного восстановления паролей.

Официальная страница Elcomsoft Phone Breaker »


Elcomsoft Explorer for WhatsApp

Elcomsoft Explorer for WhatsApp - инструмент для извлечения, просмотра и анализа истории сообщений пользователей WhatsApp. В программу встроены средства для извлечения, расшифровки и просмотра данных приложения WhatsApp для платформы Apple iOS. Поддерживается как извлечение данных из локальных копий iTunes, так и скачивание информации из облачных резервных копий системы iOS и самого приложения WhatsApp.

Официальная страница Elcomsoft Explorer for WhatsApp »

НАШИ НОВОСТИ