欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

解密WhatsApp备份的新方法

来源:本站整理 作者:佚名 时间:2019-01-15 TAG: 我要投稿

虽然经历过几次信息安全事件,但WhatsApp目前仍然是最受欢迎的即时通讯工具之一。WhatsApp拥有超过15亿用户和大约5亿的日活跃用户,每天发送超过1000亿条消息。WhatsApp的安全得益于端到端加密,使得被截获的消息无法解密。虽然这对消费者和隐私维权人士来说是个好消息,但对执法部门来说也是个坏消息,除非公司同意提供后门,让他们访问嫌疑人的WhatsApp通讯记录,否则执法人员将面临加密问题。
那除了使用后门和密码外,是否还有其他选项可以访问WhatsApp会话?目前,我们至少知道两个。第一种选择是从任何一方的设备直接捕获消息数据库,另一种选择是通过云端。WhatsApp并不像Telegram那样,有专属于自己的本地云服务,它只有一个消息传递中继服务,它存储消息的时间不会超过传递消息所需的时间。换句话说,任何通过WhatsApp服务器传递的消息一经发送就会立即被删除(由于端到端加密的原因)。需要注意的是,WhatsApp账户不能在多个设备上使用。
让我们来回顾一下Android和iOS的WhatApp恢复或解密选项,看看Elcomsoft eXplorer for WhatsApp  (EXWA)有什么新功能。
在Android环境中运行WhatsApp
在安卓智能手机上,WhatsApp会将聊天数据库保存在沙箱中。ADB备份中不包含该数据库,并且只有在设备具有root权限时才能访问该数据库。要想在非root权限的设备上访问WhatsApp数据库,唯一的方法就是在sideload模式(安卓的一种刷机模式)下对WhatsApp进行操作,并强制它将原始的未加密数据库返回给主机。我们可以用EXWA来实现,但注意,目前只能在安卓4.0到6.0.1的老版本上实现。如果是在Android 7.0及更新版本上使用此方法,则无效,其原因就是过程比较复杂,不过我们仍然在努力,期待在最新的Android版本中实现类似的方法。换句话说,如果你购买的是一款最新的Android手机,你不太可能使用此方法。
WhatsApp还可以为Android共享存储或SD卡创建独立备份,但这些备份通常是加密的。加密后的WhatsApp备份文件名称以.cryptNN结尾,其中NN代表一组数字。要解密该数据库,你需要存储在WhatsApp沙箱中的加密密钥,这样我们就可以返回root或非root的情况,因为只有在你拥有超级用户权限时,才可能访问沙箱。如果你按着以上的方法这么做了,那我建议你最好还是把WhatsApp的原始数据库从应用程序的沙盒中取出来,除非你需要那个特定备份中的数据。.cryptNN中的那组数字表示用于保护备份的加密算法的修订版本。这些是加密算法中的微小变化,实际上并不影响安全性。虽然开源代码可以解密这些文件(参考1和参考2),但是你仍然需要加密密钥。
那是否可以只计算或生成加密密钥而不提取呢?在尝试之前,首先我们得看看Google云端硬盘上的WhatsApp备份。
在应用程序内创建WhatsApp备份时,是具有可选项的,你可以选择每日、每周或每月备份,这样在按下“备份”按钮时,程序就会按照你的选项设置进行备份。不过你还可以完全禁用备份,需要注意的是,备份将始终包含有关的聊天信息和图片(视频是可选的)信息,但不包括联系人信息。对于Android版本的WhatsApp(以及Google云端硬盘上的备份),聊天记录始终是加密的,而媒体文件则不是。

很长一段时间,EXWA已经能够从Google云端硬盘下载WhatsApp备份,不过前提是,你得拥有用户的Google登录凭证,详细过程请阅读《从Google帐户中提取和解密Android 环境中的WhatsApp备份》。
提取和解密Android 环境中的WhatsApp备份时,我们要使用与WhatsApp信息生成相同的方法,比如用户需要通过短信获得一个安全代码(你需要访问手机号码才能收到它)。唯一的问题是,一旦代码在服务器上生成,WhatsApp就会在用户的设备上停用。当然,用户可以再次激活它,但是我们生成的加密密钥只能用于以前保存的备份,而不能用于任何将来的备份。
iOS 环境中的WhatsApp
对于iOS设备来说,访问WhatsApp会话最简单的方式就是分析具有本地iTunes属性的备份。虽然iOS设备备份中的WhatsApp数据没有额外的加密,但是,如果设置了备份密码,那你必须输入密码、恢复密码或在iPhone上重置密码。
那么iCloud备份呢?它们本质上是相同的,因为WhatsApp聊天和媒体文件也保存在那里,没有任何额外的加密。取证人员需要拥有用户的iCloud凭证(密码加上第二个验证因素,或身份验证令牌)才能下载设备备份。一旦WhatsApp的备份被下载了,对它的解密就是水到渠成的事情了。
就像安卓环境一样,iOS环境下的WhatsApp也可以进行独立备份,它们都存储在iCloud驱动器中。
iCloud驱动器中的WhatsApp独立备份也是加密的,这种保护类似于Google云端硬盘中的备份。EXWA也支持这些备份,详情请参阅《从iCloud提取和解密WhatsApp备份》。

使用Elcomsoft eXplorer工具解密WhatsApp备份
以上我们学习了如何直接从iPhone获取加密密钥,现在我们可以在不需要安全代码的情况下解密独立的WhatsApp iCloud驱动器备份。此时,用户的WhatsApp安装将处于运行状态。
从技术上讲,加密密钥存储在钥匙串中。使用Elcomsoft Phone Breaker可以很容易地访问大部分的钥匙串项,由于WhatsApp加密密钥针对更高的安全级别,因此只能通过带有物理钥匙串提取的iOS Forensic Toolkit 4.0获得。
一旦获得加密密钥并打开从iCloud驱动器下载的WhatsApp备份,系统就会提示你进行解密。但是,你现在无需使用WhatsApp服务器进行身份验证(获取安全代码),而是可以指定使用iOS Forensic Toolkit(默认情况下为keychaindump.xml)提取的钥匙串文件的路径。
通过WhatsApp请求激活密钥:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载