Мобильный Криминалист

Дешифровка резервных копий WhatsApp

В мобильной криминалистике эксперты часто сталкиваются с проблемами, которые мешают им провести полноценную экспертизу устройства:

  • Устройство заблокировано
  • Отсутствует возможность снять физический образ устройства или дешифровать его
  • Приложение удалено с телефона владельца

Именно эти проблемы и решает дешифровка резервных копий из облачных сервисов, ведь она дает возможность получить резервную копию напрямую с сервера приложения и расшифровать ее.

В настоящее время существует несколько способов дешифровки резервных копий и наиболее известный среди них - дешифровка с использованием key-файла. Но этот способ имеет ряд недостатков:

  • Может быть использован для расшифровки бэкапов приложений только на Android-устройствах
  • При переустановке приложения key-файл будет новым и не подойдет к старым бэкапам
  • Если приложение используется на нескольких устройствах с одного номера телефона, то key-файл подойдет только к бэкапам с того устройства, из которого мы его извлекли
  • При удалении приложения локальные резервные копии на устройстве остаются, а key-файл уничтожается

Поэтому мы разработали новый метод дешифровки резервных копий по токену, который появился в последней версии «Мобильный Криминалист Детектив 10.1»!

Отличительной особенностью такого метода является то, что он подходит как для Android, так и для iOS-платформ. Кроме того, этот способ позволяет расшифровать резервные копии даже в том случае, если после их шифрования изменился сам ключ шифрования бэкапов. Также этот метод делает работу экспертов более удобной, ведь в нем нет недостатков хорошо известного метода дешифровки бэкапов по key-файлу.

Как шифруются резервные копии WhatsApp?

При первом создании резервной копии приложение генерирует случайное число и отправляет его в специальном запросе на сервер WhatsApp. Сервер возвращает другое случайное число и сам ключ шифрования, с помощью которых и шифруются резервные копии.

При этом копия ключа сохраняется в зависимости от платформы:

  • На Android-устройствах в локальный key-файл
  • На iOS-устройствах оба случайных числа и ключ шифрования сохраняются по отдельности в системный keychain и не экспортируются в iTunes-бэкапы

Как расшифровать резервные копии с помощью токена?

Платформа: Android или iOS

Требования: Наличие токена.

Если у нас есть уже сгенерированный нами токен, или мы извлекли его из устройства, то с сервера WhatsApp можно получить ключ шифрования, не запрашивая SMS-сообщения и не оставляя следов.

Этот ключ мы можем использовать для расшифровки бэкапов и создания своего key-файла.

«Мобильный Криминалист» сохраняет сгенерированные токены и позволяет осуществлять расшифровку бэкапов по ним, что дает возможность не запрашивать SMS-коды и не вводить 2SV-пин для повторных операций с тем же аккаунтом.

Расшифровка через key-файл.

Платформа: Android

Требования: полный доступ к файловой системе, наличие key-файла на устройстве

Если на Android-устройстве есть полный доступ к файловой системе и установлено приложение WhatsApp, в котором включено создание резервных копий, из устройства можно извлечь ключ-файл. Этот ключ-файл содержит всю необходимую информацию для расшифровки.

Этот метод был реализован в более ранних версиях "Мобильного Криминалиста", но как мы видим, он имеет свои ограничения.

  • Whatsapp. Как начать декриптовку
  • Whatsapp. Найден токен
  • Whatsapp. Начало декриптовки
  • Whatsapp. Декриптовка завершена
  • Whatsapp. Извлеченные данные