Recuperação de conversas WhatsApp no iPhone

por Ricardo Esper

Ricardo Esper é um experiente profissional com 40 anos em tecnologia e segurança cibernética, fundador da NESS e atuante na Ionic Health como CISO. Especialista em gestão de crises, compliance e investigação na Trustness e forense.io, contribui para várias entidades, incluindo HackerOne e OWASP, promovendo práticas seguras em tecnologia.

Recuperação de conversas WhatsApp no iPhone

O grande tema dos últimos tempos tem sido a questão de quão seguras são as conversas em aplicativos de mensagens. O mais popular de todos é o WhatsApp.

Eu mesmo já escrevi um artigo com respeito ao dizendo as verificações de criptografia no WhatsApp. O transito da aplicação está claramente criptografada, mas como ainda estão aparecendo conversas recuperadas? A versão mais recente do aplicativo testado deixa vestígios forenses de todos os suas conversas. Mesmo depois de ter eliminado, apagado, ou arquivados. Na verdade, a única maneira de se livrar deles parece ser a de excluir o aplicativo completo.

Para testar, eu instalei o aplicativo. Usei o aplicativo como é usado normalmente. Arquivei e excluiu algumas conversas. Fiz uma segunda cópia de segurança e depois de executei a função “Limpar todas as conversas”. Nenhuma destas opções de exclusão ou de arquivamento feito gerou diferença na forma como os registos eliminados foram mantidos. Em todos os casos, os registos dentro do banco de dados utilizado pelo aplicativo (SQLite) não foram suprimidos e permaneceram intactos.

Só para ficar claro, ao apagar o registro no WhatsApp (e não me parece que eles preservam intencionalmente dados), a conversa some do aplicativo,  no entanto o registro em si não é “purgado” ou apagados da base de dados. Com isso o aplicativo deixa um indicio forense que pode ser recuperado e reconstruído.

Whatsapp-Crashes-on-iPhone

Um problema comum

Os traços forenses são comuns entre qualquer aplicativo que usa SQLite.  Quando um registro é excluído, ele é simplesmente marcado como “apagado” e quando o banco de dados precisa o armazenamento extra (normalmente depois que muitos mais registros são criados) ele usa esse espaço livre. Se você excluir grandes quantidades de mensagens de uma só vez, isso faz com que grandes pedaços de registros para troquem o status para “apagado” e vão para uma “lista livre”.  Leva ainda mais tempo para que os dados sejam substituídos por novos dados. Não há garantia de os dados serão substituídos pelo próximo conjunto de mensagens. Em outros aplicativos, eu já vi muitas vezes dados permanecem no banco de dados por meses, e dependendo do uso, anos.

A questão central aqui é que a comunicação é efêmera mas o armazenamento não.

O iMessage da Apple tem esse mesmo problema e é tão ruim, se não for pior. Seu SMS.db é armazenado em um backup do iCloud, mas também existem cópias dele em seu iPad, seu desktop, e em qualquer outro lugar você receber iMessages.

A maneira de medir qual o “melhor” aplicativo para preservar sua privacidade neste caso é a medida com que é possível que uma perícia recupere a mensagem. O Signal deixa praticamente nada de rastros, então não há nada para se preocupar. O Wickr aproveita CoreData da Apple e criptografa seu banco de dados usando chaves armazenadas no keychain (muito mais seguro).

Copiados para Backups

O banco de dados de bate-papo WhatsApp é copiado durante o backup do iPhone, o que significa que ele vai aparecer em seu backup mo iCloud e/ou no desktop. Felizmente, backups de desktop podem ser criptografados ativando a opção “Criptografar backups” no iTunes. Infelizmente, essa criptografia dos backups do iCloud podem ser desfeitas por mandados da lei.

Desligar iCloud e usando backups criptografados para o seu ambiente de trabalho não significa necessariamente que você está fora de perigo. Se você usou uma senha fraca que pode ser quebrada por ferramentas de análise forense como o conjunto de ferramentas de Elcomsoft. O backup pode ser descriptografado.

O que isto significa?

A aplicação da lei pode, potencialmente, emitir um mandado para a Apple para obter seus registros de bate-papo WhatsApp apagados, o que pode incluir mensagens apagadas.
Qualquer pessoa com acesso físico ao seu telefone e desbloqueio(por exemplo, impressão digital, código de acesso, ou simplesmente pega-lo desbloqueado) pode criar um backup com uma senha própria . Este conteúdo será criptografada com a senha desta pessoa.
Qualquer pessoa com acesso físico ao computador pode copiar estes dados a partir de um backup existente, sem criptografia, ou potencialmente decifrá-lo usando ferramentas senha de quebra, ou recuperar a senha.

Como você pode atenuar isto como um usuário final?

Use o iTunes para definir uma senha de backup longo e complexo para o seu telefone. Não guarde esta senha em nenhum lugar, caso contrário, poderia potencialmente ser recuperado usando ferramentas forenses.

Desativar backups do iCloud

Periodicamente, eliminar a aplicação do seu dispositivo e reinstalá-lo a espulgar o banco de dados. Esta parece ser a única forma de limpar os registros excluídos e começar de novo. Lembrando que isto não irá excluir bancos de dados de backups do iCloud existentes a partir da nuvem.

Boa sorte!

 

Ricardo Esper

http://www.bnsec.com.br

http://www.ness.com.br

Ricardo Esper
Ricardo Esper

Ricardo Esper é um experiente profissional com 40 anos em tecnologia e segurança cibernética, fundador da NESS e atuante na Ionic Health como CISO. Especialista em gestão de crises, compliance e investigação na Trustness e forense.io, contribui para várias entidades, incluindo HackerOne e OWASP, promovendo práticas seguras em tecnologia.

Falando nisso…

0 comentários