Популярных мессенджер. Имея больше 1,5 млр юзеров и около полумиллиарда ежедневных активных пользователей, WhatsApp отправляет более 100 миллиардов сообщений в день. WhatsApp безопасен благодаря сквозному шифрованию, чтобы сделать перехваченные сообщения невозможными для расшифровки. Хотя это отличная новость для потребителей и защитников конфиденциальности, это также плохая новость для правоохранительных органов. Как только эксперт согласится получить доступ к истории общения подозреваемого в WhatsApp, он будет бороться с шифрованием и спросом на бэкдор, предоставляемый поставщиком (WhatsApp: Секретное Орудие плохих парней).
Есть ли другие варианты доступа к разговорам WhatsApp? Мы знаем, по крайней мере, о двух. Первым вариантом является захват базы данных сообщений непосредственно с устройства любой из сторон. Другой вариант — прохождение через облако. WhatsApp не имеет собственного нативного облачного сервиса, такого как Telegram. Все, что у него есть, это служба ретрансляции сообщений, которая не хранит сообщения дольше, чем требуется для их передачи. Другими словами, любое сообщение, которое проходит через серверы WhatsApp, немедленно удаляется после его доставки (и оно в любом случае будет бесполезно для судебных экспертов из-за сквозного шифрования). Важно отметить, что учетные записи WhatsApp не могут использоваться более чем на одном устройстве.
Давайте рассмотрим параметры восстановления / расшифровки WhatApp как для Android, так и для iOS, и посмотрим, что нового в
WhatsApp также может создать автономную резервную копию на общее хранилище Android или SD-карту, но такие резервные копии всегда зашифрованы. Зашифрованные резервные копии WhatsApp имеют имена файлов, оканчивающиеся на .cryptNN, где NN — это число. Чтобы расшифровать эту базу данных, вам понадобится ключ шифрования, который хранится в песочнице WhatsApp. Это возвращает нас к ситуации root/no root, так как доступ к песочнице возможен только при наличии разрешений суперпользователя. И если вы это сделаете, вам гораздо лучше просто вытащить исходную базу данных WhatsApp из песочницы приложения - если вам не нужны данные в этой конкретной резервной копии. Число в cryptNN представляет собой ревизию алгоритма шифрования, используемого для защиты резервной копии. Это очень незначительные изменения в алгоритмах шифрования, которые фактически не влияют на безопасность. Открытый исходный код доступен для расшифровки таких файлов (например, здесь и там), но вам все равно нужен ключ шифрования, который нелегко получить.
Можно ли просто рассчитать или сгенерировать ключ шифрования вместо того, чтобы извлекать его? Мы можем попробовать. Но сначала давайте посмотрим на резервные копии WhatsApp на Google Drive.
Резервные копии WhatsApp, которые могут быть созданы из приложения, являются необязательными; Вы можете выбрать ежедневное, еженедельное или ежемесячное резервное копирование или просто сделать это по запросу при нажатии кнопки [Резервное копирование]. Вы также можете полностью отключить резервное копирование. Резервная копия всегда будет содержать чаты и изображения (видео необязательны), но не контакты. Для Android-версии WhatsApp (и, следовательно, резервных копий на Google Диске) чаты всегда шифруются, а медиафайлы — нет.
В течение долгого времени EXWA могла загружать резервные копии WhatsApp с Google Диска (конечно, если у вас есть учетные данные пользователя Google), см. Извлечение и расшифровка резервных копий Android WhatsApp из учетной записи Google.
Как мы справляемся с шифрованием? Мы делаем это так же, как и сам WhatsApp при восстановлении из резервной копии. Вам нужно будет получить код безопасности по SMS (для его получения вам понадобится доступ к номеру телефона). Единственная проблема заключается в том, что как только код генерируется на сервере, WhatsApp деактивируется на устройстве пользователя. Конечно, пользователь может повторно активировать его снова, но ключ шифрования, который мы генерируем, будет работать только для резервных копий, которые были сохранены ранее, но не для любых будущих резервных копий.
Как насчет резервных копий iCloud? По сути, они одинаковы; Чаты WhatsApp и медиафайлы также сохраняются там без какого-либо дополнительного шифрования. Для загрузки резервных копий устройств необходимо иметь учетные данные пользователя iCloud (пароль плюс второй фактор или маркер проверки подлинности). После того, как вы загружаете резервную копию, извлечение WhatsApp является тривиальным.
Как и версия для Android, WhatsApp для iOS также может создавать автономные резервные копии. Они хранятся в iCloud drive.
Автономные резервные копии WhatsApp в iCloud Drive также шифруются. Защита аналогична резервному копированию на Google Диске. EXWA также поддерживает эти резервные копии, см. Извлечение и расшифровка резервных копий WhatsApp из iCloud.
Технически говоря, ключ шифрования хранится в связке ключей. Большинство элементов брелока можно легко получить с помощью только не этого. Ключ шифрования WhatsApp нацелен на более высокий класс безопасности, и поэтому его можно получить только с помощью iOS Forensic Toolkit 4.0 с извлечением физической связки ключей.
Как только вы получите ключ шифрования и откроете резервную копию WhatsApp, загруженную с iCloud Drive, вам будет предложено расшифровать (как у нас это уже было). Однако вместо аутентификации на серверах WhatsApp (для получения кода безопасности) вы теперь можете указать путь к файлу связки ключей, который вы извлекли с помощью iOS Forensic Toolkit (keychaindump.xml по умолчанию).
Это старый метод. Мы запрашиваем ключ активации из WhatsApp:
И это новый метод: вам просто нужен файл связки ключей с джейлбрейкнутого iPhone:
У этого подхода есть множество преимуществ. Во-первых, вам больше не нужно будет получать код безопасности по SMS или телефонному звонку, и WhatsApp останется активным на iPhone пользователя. Если у вас нет доступа к SIM-карте пользователя, это может быть единственным доступным методом извлечения. Кроме того, ключ расшифровки будет работать для всех прошлых и будущих резервных копий.
Зачем беспокоиться о резервных копиях iCloud Drive, если у вас есть доступное устройство? Резервная копия может содержать чаты, которые уже были удалены на устройстве. Хотя иногда можно восстановить удаленные записи из базы данных SQLite, это не всегда так.
Есть ли другие варианты доступа к разговорам WhatsApp? Мы знаем, по крайней мере, о двух. Первым вариантом является захват базы данных сообщений непосредственно с устройства любой из сторон. Другой вариант — прохождение через облако. WhatsApp не имеет собственного нативного облачного сервиса, такого как Telegram. Все, что у него есть, это служба ретрансляции сообщений, которая не хранит сообщения дольше, чем требуется для их передачи. Другими словами, любое сообщение, которое проходит через серверы WhatsApp, немедленно удаляется после его доставки (и оно в любом случае будет бесполезно для судебных экспертов из-за сквозного шифрования). Важно отметить, что учетные записи WhatsApp не могут использоваться более чем на одном устройстве.
Давайте рассмотрим параметры восстановления / расшифровки WhatApp как для Android, так и для iOS, и посмотрим, что нового в
WhatsApp в Android
На android-смартфонах WhatsApp хранит свою базу данных чатов в песочнице. База данных исключается из резервных копий ADB и может быть доступна только в том случае, если устройство укоренено. Единственный способ получить доступ к базе данных WhatsApp на некорневых устройствах требует загрузки неопубликованной версии WhatsApp и принуждения ее к возврату исходной, незашифрованной базы данных на хост. Мы можем сделать это с помощью EXWA, но только на более старых версиях Android от Android 4.0 до 6.0.1. Android 7.0 и новее делают вещи намного сложнее; мы все еще с нетерпением ждем реализации аналогичного подхода для более поздних сборок Android. Другими словами, если вы приобретаете достаточно новый телефон Android, маловероятно, что вы сможете провернуть этот трюк (по крайней мере, на данный момент).WhatsApp также может создать автономную резервную копию на общее хранилище Android или SD-карту, но такие резервные копии всегда зашифрованы. Зашифрованные резервные копии WhatsApp имеют имена файлов, оканчивающиеся на .cryptNN, где NN — это число. Чтобы расшифровать эту базу данных, вам понадобится ключ шифрования, который хранится в песочнице WhatsApp. Это возвращает нас к ситуации root/no root, так как доступ к песочнице возможен только при наличии разрешений суперпользователя. И если вы это сделаете, вам гораздо лучше просто вытащить исходную базу данных WhatsApp из песочницы приложения - если вам не нужны данные в этой конкретной резервной копии. Число в cryptNN представляет собой ревизию алгоритма шифрования, используемого для защиты резервной копии. Это очень незначительные изменения в алгоритмах шифрования, которые фактически не влияют на безопасность. Открытый исходный код доступен для расшифровки таких файлов (например, здесь и там), но вам все равно нужен ключ шифрования, который нелегко получить.
Можно ли просто рассчитать или сгенерировать ключ шифрования вместо того, чтобы извлекать его? Мы можем попробовать. Но сначала давайте посмотрим на резервные копии WhatsApp на Google Drive.
Резервные копии WhatsApp, которые могут быть созданы из приложения, являются необязательными; Вы можете выбрать ежедневное, еженедельное или ежемесячное резервное копирование или просто сделать это по запросу при нажатии кнопки [Резервное копирование]. Вы также можете полностью отключить резервное копирование. Резервная копия всегда будет содержать чаты и изображения (видео необязательны), но не контакты. Для Android-версии WhatsApp (и, следовательно, резервных копий на Google Диске) чаты всегда шифруются, а медиафайлы — нет.
В течение долгого времени EXWA могла загружать резервные копии WhatsApp с Google Диска (конечно, если у вас есть учетные данные пользователя Google), см. Извлечение и расшифровка резервных копий Android WhatsApp из учетной записи Google.
Как мы справляемся с шифрованием? Мы делаем это так же, как и сам WhatsApp при восстановлении из резервной копии. Вам нужно будет получить код безопасности по SMS (для его получения вам понадобится доступ к номеру телефона). Единственная проблема заключается в том, что как только код генерируется на сервере, WhatsApp деактивируется на устройстве пользователя. Конечно, пользователь может повторно активировать его снова, но ключ шифрования, который мы генерируем, будет работать только для резервных копий, которые были сохранены ранее, но не для любых будущих резервных копий.
WhatsApp в iOS
Для устройств iOS самым простым способом доступа к разговорам WhatsApp является анализ локальной резервной копии в стиле iTunes. Нет никакого дополнительного шифрования для данных WhatsApp внутри резервных копий устройств. Однако, если установлен резервный пароль, необходимо ввести пароль, восстановить его или сбросить на самом iPhone.Как насчет резервных копий iCloud? По сути, они одинаковы; Чаты WhatsApp и медиафайлы также сохраняются там без какого-либо дополнительного шифрования. Для загрузки резервных копий устройств необходимо иметь учетные данные пользователя iCloud (пароль плюс второй фактор или маркер проверки подлинности). После того, как вы загружаете резервную копию, извлечение WhatsApp является тривиальным.
Как и версия для Android, WhatsApp для iOS также может создавать автономные резервные копии. Они хранятся в iCloud drive.
Автономные резервные копии WhatsApp в iCloud Drive также шифруются. Защита аналогична резервному копированию на Google Диске. EXWA также поддерживает эти резервные копии, см. Извлечение и расшифровка резервных копий WhatsApp из iCloud.
Новое в Элкомсофт Экстрактор для WhatsApp
Так что же изменилось в EXWA? Мы узнали, как получить ключи шифрования непосредственно с iPhone, и поэтому теперь мы можем расшифровывать автономные резервные копии iCloud Drive WhatsApp без необходимости в коде безопасности. Таким образом, установка WhatsApp пользователя останется активной.Технически говоря, ключ шифрования хранится в связке ключей. Большинство элементов брелока можно легко получить с помощью только не этого. Ключ шифрования WhatsApp нацелен на более высокий класс безопасности, и поэтому его можно получить только с помощью iOS Forensic Toolkit 4.0 с извлечением физической связки ключей.
Как только вы получите ключ шифрования и откроете резервную копию WhatsApp, загруженную с iCloud Drive, вам будет предложено расшифровать (как у нас это уже было). Однако вместо аутентификации на серверах WhatsApp (для получения кода безопасности) вы теперь можете указать путь к файлу связки ключей, который вы извлекли с помощью iOS Forensic Toolkit (keychaindump.xml по умолчанию).
Это старый метод. Мы запрашиваем ключ активации из WhatsApp:
И это новый метод: вам просто нужен файл связки ключей с джейлбрейкнутого iPhone:
У этого подхода есть множество преимуществ. Во-первых, вам больше не нужно будет получать код безопасности по SMS или телефонному звонку, и WhatsApp останется активным на iPhone пользователя. Если у вас нет доступа к SIM-карте пользователя, это может быть единственным доступным методом извлечения. Кроме того, ключ расшифровки будет работать для всех прошлых и будущих резервных копий.
Зачем беспокоиться о резервных копиях iCloud Drive, если у вас есть доступное устройство? Резервная копия может содержать чаты, которые уже были удалены на устройстве. Хотя иногда можно восстановить удаленные записи из базы данных SQLite, это не всегда так.
