Robert Heaton es un ingeniero de software en Stripe. Este post apareció originalmente en su blog, donde escribe sobre programación, tecnología, cultura y un par de cosas más. También tiene una cuenta en Twitter.La preparaciónEstás dentro de una batalla de travesuras y bromas con Steve Steveington, tu buen amigo y mortal enemigo. La semana pasada él fue demasiado lejos al manipular tu personaje en World of Warcraft. Le hizo algunas cosas que es mejor olvidar. Ahora estás oficialmente en guerra.
Publicidad
Tienes que golpearlo donde más duele. Destruir totalmente algo que ama. Debes tener acceso a su cuenta en Tinder.Son las 4 PM. Steve y tu están en relajandose en su habitación. Él fue a hacer un sandwich y cometió el grave error de no bloquear su computador. Descubriste que todo lo que necesitas es un poco de tiempo con su sesión de Facebook y puedes entrar a su cuenta de Tinder a través de tu teléfono. Esta es la mejor oportunidad que vas a tener.Tu investigación sugiere que usualmente Steve prefiere banana y mantequilla de maní en sus snacks de media tarde, por lo que tienes 2 minutos con su computador, quizás 3 si tiene problemas para encontrar el frasco de mantequilla de maní que estratégicamente escondiste detrás de la mostaza. Empieza el juego.Fase 1 - El lanzamiento de la galletaHas entrenado para este momento por días e incluso así 3 minutos no son suficiente tiempo para ejecutar tu plan completo, de inicio a fin. Te mantienes con calma. Puedes ocupar este pequeño espacio para lanzar su sesión de Facebook desde su laptop al tuyo y después continuar con la siguiente fase delante de su nariz.Su sesión está en las cookies de su navegador. Si consigues las cookies de facebook.com, consigues su sesión.Abres Chrome, vas a la consola del desarrollador y escribes unos códigos en Javascript. Lamentablemente document.cookies sólo te da 6 de las 11 cookies que entrega Facebook. Las otras 5, las que tiene los datos de la sesión en la que realmente estás interesado, están marcadas como httponly y son completamente inaccesibles vía Javascript. El reloj no se detiene.
Publicidad
Recuerdas que Chrome guarda sus cookies en una base de datos sqlite3 en ~/Library/Application\ Support/Google/Chrome/Default/. Perfecto
Todas las imágenes/pantallazos: Robert Heaton
Están encriptadas. Un camino sin salida. El reloj no se detiene.Puedes usar las Chrome Developer Tools para inspeccionar los pedidos HTTP a facebook.com y ver que cookies contiene, pero primero recordaste una útil extensión llamada EditThisCookie. Esta extensión es capaz de exportar e importar cookies a muy alta velocidad, ya que Chrome Extensions (al contrario que Javascript corriendo desde una pagina web) te permite acceso a todas las cookies, incluso las que están marcadas httponly.
Lo instalas rápidamente, presionas "Export" y te envías a ti mismo las cookies serializadas JSON:
Lo desinstalas y borras el historial del navegador para no levantar sospechas. Prendes tu computador, importas las cookies usando la misma extensión de Chrome y entras a facebook.com. La cuenta de Steve Steveington se materializa. Tienes acceso, a no ser que Steve salga de su cuenta y expire la sesión compartida. La fase 1 está completa.Steve vuelve con un sandwich gigante en la mano, pero es muy tarde, ya estás dentro.Fase 2 - El proxyAhora viene la parte difícil, trasladar la sesión de Facebook en un laptop hasta la sesión de Tinder en la aplicación de iPhone. Has ganado tiempo con el truco de mover las cookies. Sólo puedes rezarle a dios para que sea suficiente.
Publicidad
Bajas la versión gratuita de Burp Suite Proxy. La configuras; esto no toma más de unos pocos minutos. Instalas el certificado SSL de la Burp Suite en tu teléfono, configuras el proxy en tu computador y conectas tu teléfono a el.Es hora ponerte a-ti-mismo en el medio.Con las palmas sudando vas y desinstalas la aplicación de Facebook de tu teléfono para asegurarte que los pedidos de autorización de Facebook aparezcan en Safari. Cierras sesión en Tinder. Germintrude, 26, puede esperar. Esto no.
Aparece la pagina de inicio de Tinder. Haces click en "Log in with Facebook" y eres redirigido a la pagina de autenticación de Facebook en la versión móvil de Safari. Aparece tu cuenta. Pones el teléfono en la mesa y saltas sobre tu laptop.
Abres Burp Suite y encuentras el registro de la solicitud HTTP GET para la página de autorización que ahora muestra tu teléfono. Copias la URL en el navegador de tu laptop, el que está dentro de Facebook gracias a las cookies robadas a Steve Steveington. Inconsciente que esto no tiene sentido, ves la página de autorización de Facebook y la pregunta sobre si Steve Steveington quiere autorizar a Tinder. Sabes que él rotundamente no quiere. Haces una pausa y miras su cara untada con mantequilla de maní. Han pasado por tantas cosas juntos, pero este no es tiempo para sentimentalismo. Haces click en OK.
Vuelves a Burp Suite y encuentras el registro del requerimiento HTTP POST para esta autorización. Copias la respuesta HTTP en Evernote para usarla después.
Publicidad
Esta gran cadena de kilobytes de texto contiene la llave con la autorización encriptada que te dará acceso a la cuenta de Tinder de Steve. Ahora solo debes llevarlo a tu teléfono. El tiro de gracia.Prendes el modo "interceptar" en Burp Suite, el que captura todos los pedidos HTTP y respuestas para que puedas inspeccionarlas y editarlas antes de reenviarlas a su destino. Vuelves a la pagina de autorización de Facebook en tu teléfono y tocas "OK". Burp Suite intercepta el pedido HTTP y lo dejas pasar sin problemas. Cuando la respuesta viene de vuelta, te tomas una pausa.
Esta respuesta está en un formato un poco diferente al anterior. Es lo que le dirá a Safari que una llave pase el control con la autorización encriptada de Facebook y luego irá hacia Tinder. Pero tu no quieres que pase tu llave con la autorización, quieres que pase la llave de Steve. Abres Evernote y seleccionas la respuesta a una autorización de autenticidad idéntica que hiciste desde tu laptop usando la sesión de Facebook de Steve. Copias todo en la respuesta desde fb464891386855067 hasta expires_in=6361 y lo reemplazas con la correspondiente sección en la nueva respuesta que aun está esperándote en Burp Suit. Envías a tu teléfono esta respuesta modificada con la llave de autorización y el cifrado enterrados en ella.El tiempo se detiene por lo que parece una eternidad.Y luego aparece la cuenta de Tinder de Steve Steveington frente a ti. Lo hiciste. Hay lagrimas de felicidad y alivio corriendo por tu cara. Cambias todas sus fotos por imágenes de Gary Busey y comienzas a contarle a todos sus matches sobre su perjudicial higiene personal.
Publicidad
EpílogoPor razones que este narrador no ha podido sondear, 30 a 45 minutos después de ganar acceso a la cuenta de Tinder de Steve, un pedido de GET desde facebook.com/v2.1/me?format=json&sdk=ios, vuelve con un error 400, ya sea:{"error":{"message":"Error validating access token: The session is invalid because the user logged out.","type":"OAuthException","code":190,"error_subcode":467}}o{"error":{"message":"An active access token must be used to query information about the current user.","type":"OAuthException","code":2500}}Tinder se vuelve loco y te echa para afuera. Tú tampoco sabes por qué.También sucede que Monica, 28, es una gran fanática de Arma Moral. Ella y Steve ahora tienen 2 niños y una casa en San José.Publicado con el permiso de Robertheaton.com