标注的博客| 安全研究| 渗透测试| APT

首页

一种解密whatsapp备份的新方法

作者 prehn 时间 2020-03-31
all

Android中的WhatsApp

是否可以只计算或生成加密密钥而不提取?我们可以试试。但首先让我们看看谷歌硬盘上的WhatsApp备份。

可以在应用程序内创建的WhatsApp备份是可选的;您可以选择每日、每周或每月备份,或者只需在按[备份]按钮时按请求进行备份。您还可以完全禁用备份。备份将始终包含聊天和图片(视频是可选的),但不包含联系人。对于Android版本的WhatsApp(以及Google Drive上的备份),聊天总是加密的,而媒体文件则不是。

很长一段时间以来,EXWA能够从Google Drive下载WhatsApp备份(当然,如果您有用户的Google凭据),请参见从Google帐户提取和解密Android WhatsApp备份。

我们如何处理加密?当从备份中恢复时,我们使用的方法与WhatsApp本身相同。其中一个需要通过短信息获取安全代码(您需要访问电话号码才能接收)。唯一的问题是,一旦代码在服务器上生成,WhatsApp就会在用户的设备上被停用。当然,用户可以再次激活它,但是我们生成的加密密钥只对以前保存的备份有效,而不适用于以后的任何备份。

iOS中的WhatsApp

对于iOS设备,访问WhatsApp对话的最简单方法是分析本地iTunes风格的备份。在设备备份中没有对WhatsApp数据进行额外加密。但是,如果设置了备份密码,则必须在iPhone上输入、恢复或重置密码。

iCloud备份呢?它们基本上是相同的;WhatsApp聊天和媒体文件也保存在那里,而不需要任何额外的加密。您需要具有用户的iCloud凭据(密码加上第二个因素,或身份验证令牌)才能下载设备备份。一旦下载了备份,WhatsApp的提取就很简单了。

就像Android版本一样,WhatsApp for iOS也可以进行独立备份。这些存储在iCloud驱动器中。

iCloud驱动器中的WhatsApp独立备份也被加密。这种保护类似于谷歌硬盘中的备份。EXWA也支持这些备份,请参阅从iCloud提取和解密WhatsApp备份。

用于WhatsApp的新型Elcomsoft提取器

那么埃克斯瓦发生了什么变化?我们学习了如何直接从iPhone获取加密密钥,因此我们现在可以解密WhatsApp独立iCloud驱动器备份,而不需要安全代码。因此,用户的WhatsApp安装将保持活动状态。

从技术上讲,加密密钥存储在密钥链中。大多数钥匙链项目可以很容易地访问与Elcomsoft电话断路器,只是不是这一个。WhatsApp加密密钥针对的是更高的安全级别,因此只能使用iOS法证工具包4.0和物理密钥链提取来获取。

获得加密密钥并打开从iCloud驱动器下载的WhatsApp备份后,系统将提示您进行解密(正如我们已经拥有的那样)。但是,您现在可以指定iOS鉴证工具包(默认为keychaindump.xml)提取的密钥链文件的路径,而不是使用WhatsApp服务器进行身份验证(以获取安全代码)。

这是老办法。我们向WhatsApp请求激活密钥:

这是一种新方法:你只需要一个越狱的iPhone的密钥链文件:

这种方法有多种好处。首先,您将不再需要通过短信或电话获取安全代码,WhatsApp将在用户的iPhone上保持活动状态。如果您无法访问用户的SIM卡,这可能是唯一可用的提取方法。此外,解密密钥将适用于所有过去和将来的备份。

如果你有iCloud硬盘备份,为什么还要费心呢?备份可能包含已在设备上删除的聊天。虽然有时可以从SQLite数据库恢复已删除的记录,但情况并非总是如此。

结论

用于WhatsApp的Elcomsoft eXplorer是市场上最强大的WhatsApp恢复和解密工具,它支持iOS和Android版本的WhatsApp并解密所有类型的备份。我们将尽最大努力增加更多的功能,非常感谢您的建议。说到这里,你需要macOS版本吗?

参考文献:

用于WhatsApp的Elcomsoft浏览器

用于WhatsApp官方网页和下载的Elcomsoft浏览器