Облачные сервисы

В мобильной криминалистике эксперты часто сталкиваются с проблемами, которые мешают им провести полноценную экспертизу устройства:

  • устройство заблокировано;
  • отсутствует возможность снять физический образ устройства или дешифровать его;
  • приложение удалено с телефона владельца.

Именно эти проблемы и решает дешифровка резервных копий из облачных сервисов, ведь она дает возможность получить резервную копию напрямую с сервера приложения и расшифровать ее.

В настоящее время существует несколько способов дешифровки резервных копий и наиболее известный среди них - дешифровка с использованием key-файла. Но этот способ имеет ряд недостатков:

  • может быть использован для расшифровки бэкапов приложений только на Android-устройствах;
  • при переустановке приложения key-файл будет новым и не подойдет к старым резервным копиям;
  • если приложение используется на нескольких устройствах с одного номера телефона, то key-файл подойдет только к резервным копиям с того устройства, из которого мы его извлекли;
  • при удалении приложения локальные резервные копии на устройстве остаются, а key-файл уничтожается.

Поэтому мы разработали новый метод дешифровки резервных копий по токену, который появился в последней версии «Мобильный Криминалист Детектив 10.1»!

Отличительной особенностью такого метода является то, что он подходит как для Android, так и для iOS-платформ. Кроме того, этот способ позволяет расшифровать резервные копии даже в том случае, если после их шифрования изменился сам ключ шифрования бэкапов. Также этот метод делает работу экспертов более удобной, ведь в нем нет недостатков хорошо известного метода дешифровки по key-файлу.

Как шифруются резервные копии WhatsApp?

При первом создании резервной копии приложение генерирует случайное число и отправляет его в специальном запросе на сервер WhatsApp. Сервер возвращает другое случайное число и сам ключ шифрования, с помощью которых и шифруются резервные копии.

При этом копия ключа сохраняется в зависимости от платформы:

  • на Android-устройствах в локальный key-файл;
  • на iOS-устройствах оба случайных числа и ключ шифрования сохраняются по отдельности в системный keychain и не экспортируются в iTunes-бэкапы.

Как расшифровать резервные копии с помощью токена?

Платформа: Android или iOS

Требования: Наличие токена.

Если у нас есть уже сгенерированный нами токен, или мы извлекли его из устройства, то с сервера WhatsApp можно получить ключ шифрования, не запрашивая SMS-сообщения и не оставляя следов.

Этот ключ мы можем использовать для расшифровки бэкапов и создания своего key-файла.

«Мобильный Криминалист» сохраняет сгенерированные токены и позволяет осуществлять расшифровку бэкапов по ним, что дает возможность не запрашивать SMS-коды и не вводить 2SV-пин для повторных операций с тем же аккаунтом.

Расшифровка через key-файл.

Платформа: Android

Требования: полный доступ к файловой системе, наличие key-файла на устройстве

Если на Android-устройстве есть полный доступ к файловой системе и установлено приложение WhatsApp, в котором включено создание резервных копий, из устройства можно извлечь ключ-файл. Этот ключ-файл содержит всю необходимую информацию для расшифровки.

Этот метод был реализован в более ранних версиях "Мобильного Криминалиста", но как мы видим, он имеет свои ограничения.

Как начать дешифровку
Обнаружен токен
Начало дешифровки
Дешифровка завершена
Извлеченные данные