Криминалистический анализ WhatsApp на смартфонах Android
содержание
WhatsApp — это мобильное приложение, которое позволяет обмениваться сообщениями, видео, аудио и изображениями через смартфон. Расширение использования IM на телефонах Android стало золотой жилой для криминалистов, занимающихся мобильной и компьютерной экспертизой.
Данная статья посвящена проведению криминалистического анализа данных путем извлечения полезной информации из WhatsApp и аналогичных приложений, установленных на платформе Android.
Заверенная переписка WhatsApp может быть использована для суда или в рамках экспертизы для следственных органов.
Введение
Whatsapp позволяет обмениваться текстовыми сообщениями, отправлять изображения, видео- и аудиосообщения. Приложение доступно для Android, Blackberry, iOS, Symbian (s60) и Windows phone. Whatsapp Inc. была основана в 2009 году Брайаном Актоном и Яном Кумом, ветеранами Yahoo! Люди обмениваются информацией, такой как изображения, видео, действия и события.
Но несмотря на то, что люди общаются с друзьями все больше и больше времени, их частная жизнь становится все более уязвимой для угроз хакеров и киберпреступников. Нет никаких ограничений на длину и количество сообщений, которыми можно обмениваться, и нет платы за IM у оператора. Для использования WhatsApp не нужно устанавливать sim-карту; единственное требование — телефон с поддержкой, подключение к Интернету и место в памяти телефона для загрузки приложения.
WhatsApp использует адаптированную версию открытого стандарта Extensible Messaging and Presence Protocol (XMPP). После установки WhatsApp на любой мобильный телефон, он создает учетную запись пользователя, используя номер телефона в качестве имени пользователя (ID: [номер телефона]@s.whatsapp.net).
WhatsApp автоматически синхронизирует все телефонные номера из телефонной книги пользователя с централизованной базой данных пользователей WhatsApp для добавления контактов в список контактов пользователя.
Ранее сообщения WhatsApp не шифровались, то есть данные, которые отправлялись и получались, были в открытом виде, а значит, сообщения можно было легко прочитать при наличии следов пакетов.
WhatsApp сейчас и раньше
Данные WhatsApp хранятся во внутренней памяти мобильного телефона. После его установки он автоматически синхронизируется с контактами телефона, показывая пользователей, которые уже используют WhatsApp.
Когда мобильный телефон с установленным WhatsApp включен, процесс «com.whatsapp» получает сигнал на запуск служб ‘ExternalMediaManage’ и ‘MessageService’, которые работают в фоновом режиме до тех пор, пока телефон не будет включен. До появления стартовой версии WhatsApp 2.9 обмен сообщениями хранился в ‘msgstore.db’, который представляет собой базу данных SQLite.
Но в ранних версиях исследователи безопасности обнаружили, что записи чатов, которые обрабатывались WhatsApp, были уязвимы, потому что файл базы данных, который сохраняет разговоры в чате, не был зашифрован и мог быть легко доступен многими способами, чтобы получить все детали чата, включая изображения, видео, контакты и так далее. Как только эта новость попала в интернет, исследователи безопасности начали изучать базу данных WhatsApp (msgstore.db), чтобы восстановить все разговоры, даже удаленные из чата.
Но WhatsApp быстро отреагировал и придумал механизм шифрования для защиты своей базы данных. Теперь, по словам официальных представителей WhatsApp, они очень серьезно относятся к безопасности базы данных разговоров.
Для шифрования базы данных WhatsApp используется пользовательский алгоритм шифрования AES с 192-битным ключом шифрования, используемый в основном для платформы WhatsApp Android. Поэтому теперь предыдущий файл msgstore.db преобразуется в msgstore.db.crypt.
II. Материал и методология
Основной проблемой после получения файла msgstore.db.crypt является его расшифровка. Благодаря вкладу Франческо Пикассо, который сделал инструмент для расшифровки и организации файлов баз данных SQLite в организованную HTML форму. Инструмент работает как для зашифрованных, так и для расшифрованных файлов баз данных.
Проект WhatsApp Database Encryption Project обнародовал уязвимость в реализации шифра AES в Android: 192-битный ключ может быть обнаружен при проведении как статического, так и активного анализа программного пакета. Сценарий на языке python использует этот же ключ для расшифровки зашифрованного db-файла и представляет результат в виде хорошо оформленной HTML-страницы.
В статье подразумевается, что один и тот же ключ шифрования используется для всех установок WhatsApp на Android. В данной методике мы использовали этот инструмент Python для расшифровки и чтения нашей зашифрованной базы данных, и это было сделано успешно с последней версией WhatsApp 2.11.186.
Мы можем альтернативно прочитать файлы базы данных через «SQLite browser», но временные метки и представление данных не является простым. Еще одним преимуществом инструмента WhatsApp Xtract является то, что все медиа-содержимое, которым обмениваются, отображается на самой HTML-странице, не нужно отдельно искать папку с медиа. Инструмент может быть полезен при сравнении анализируемых нами данных.
Поиск информации: WhatsApp хранит все свои чаты в базе данных SQLite: Путь к файлу базы данных отличается от платформы к платформе.
Android: (/sdcard/WhatsApp/Databases/msgstore.db.crypt)
iOS: (Application/net.whatsapp.WhatsApp/Documents/ChatStorage.sqlite)
Основные функции:
- База данных WhatsApp может быть проверена как для iOS (ChatStorage.sqlite), так и для Android (msgstore.db & wa.db) устройств;
- Смайлики и вложения (изображения/видео/аудио/gps/контакты) отображаются в содержимом сообщения.
Как использовать:
- Шаг 1: Загрузите пакет WhatsApp Xtract на свой компьютер и распакуйте его.
- Шаг 2: Скачайте и установите среду языка программирования Python на свой компьютер.
- Шаг 3: Откройте папку, в которую вы скачали архив WhatsApp Xtract. Найдите файл с именем !install pyCrypto.bat, щелкните на нем правой кнопкой мыши и выберите запустить от имени администратора. Этот bat-файл выполнит следующую команду Python, pypm install pycrypto. Эта команда автоматически установит на ваш компьютер библиотеку pycrypto, которая будет использоваться для расшифровки резервных данных WhatsApp.
- Шаг 4: В той же папке запустите файл whatsapp_xtract_iphone.bat, whatsapp_xtract_android_crypted.bat или whatsapp_xtract_android.bat.
В зависимости от того, какой файл резервной копии вы использовали. Чтобы запустить любой из этих файлов, просто нажмите на него правой кнопкой мыши и выберите запуск от имени администратора, как описано выше. Вы также можете запустить whatsapp_xtract_console.bat, чтобы указать файл резервной копии WhatsApp вручную.
Как только выполнение bat-файла или команды будет завершено, все ваши резервные данные WhatsApp будут расшифрованы и отобразятся в браузере по умолчанию на вашем компьютере.
Заключение
При проведении судебной экспертизы важную роль может сыграть наличие самых последних сообщений для анализа. В дополнение к последним сообщениям можно просмотреть и удаленные сообщения.
Таким образом, извлечение данных после сброса настроек телефона на заводские или восстановление удаленных данных может быть рассмотрено как перспективный аспект.
Читайте обзоры:
- Разработана технология печати гибких светодиодов при помощи струйного принтера (видео)
- Киевстар представляет новые тарифы для контрактных и бизнес-клиентов
- Представлен электродвигатель Ford для переоборудования автомобилей в электрокары (3 фото + видео)
- lifecell готов к запуску упрощенной процедуры MNP
- Американцы показали прототип истребителя шестого поколения (2 фото + видео)
- Платформа Киевстар ТВ увеличила количество контента