Das führende Ermittler-Tool für WhatsApp-Daten
Der 'Elcomsoft Explorer for WhatsApp' (EXWA) bietet unter Windows Zugriff auf die komplette, entschlüsselte, von WhatsApp aufgezeichnete Kommunikation. Um an die Daten zu gelangen, kann die Software gleich bei mehreren Quellen nach den von WhatsApp aufgezeichneten Daten stöbern. In Frage kommen Android-Smartphones, online und offline Backup-Dateien von iTunes und iCloud, aber auch der Zugriff auf Google Drive- und iCloud Drive-Backup-Dateien ist möglich.
Das Tool unterstützt sowohl gerootete als auch nicht gerootete Android-Geräte. Ist das Passwort bekannt, werden offline vorliegende Backup-Dateien automatisch entschlüsselt. Mit Apple ID und Passwort oder aber mit einem entsprechenden Authentifizierungstoken können die Daten auch direkt aus Apples iCloud oder iCloud Drive geladen werden. Zugriff auf Google Drive-Backup-Dateien benötigt Login und Passwort. Die Zwei-Faktor-Authentifizierung wird für Apple- und Google-Konten unterstützt.
Ein implementierter Viewer zeigt alle gewonnenen Daten schnell und übersichtlich an. Umfangreiche Filteroptionen und ausgeklügelte Suchoptionen strukturieren die Daten, um relevante Aufzeichnungen schnell und zielgenau zu ermitteln.
Zugriffsmethoden auf WhatsApp-Daten
'Elcomsoft Explorer for WhatsApp' unterstützt folgende Zugriffsmethoden auf WhatsApp-Daten:
- Direkte Extraktion aus Android-Smartphones
Unterstützt werden sowohl gerootete (Android 4.0-9.0) als auch nicht gerootete (Android 4.0-6.0.1) Geräte. Für den Zugriff müssen die Geräte entsperrt sein. - Cloud-Erfassung von WhatsApp-Backups aus Google Drive
WhatsApp-Backups können aus Google-Konten extrahiert und dechiffriert werden. Benötigt wird dafür der Zugang zur registrierten Telefonnummer oder SIM-Karte. Google ID und Password sind nötig. - Auszüge aus lokalen iTunes-Backups Verschlüsselte Backups werden unter Verwendung des Originalpassworts automatisch entschlüsselt.
- Online-Zugriff über iCloud auf iOS Backups
Aus in der Cloud abgelegten iOS Backups können WhatsApp-Protokolle extrahiert werden. Bereits vor dem Download kann der Zugriff gezielt auf WhatsApp-Daten eingeschränkt werden, um nicht zuerst das gesamte iOS-Backup herunterladen zu müssen um an die WhatsApp-Daten zu gelangen. Benötigt werden hierfür Apple ID und Passwort bzw. ein entsprechender Authentifizierungstoken[1]. - Extraktion von WhatsApp-Backups aus iCloud Drive
WhatsApp-eigene Backups können unter Verwendung der Apple-ID und des dazugehörigen Passworts bzw. Authentifizierungstokens [2] aus dem iCloud Drive-Account des Nutzers extrahiert und entschlüsselt werden. Benötigt wird dafür der Zugang zur registrierten Telefonnummer oder SIM-Karte des Benutzers. [1]
WhatsApp-Protokolle sind sicherer als vermutet
Der Instant-Messenger WhatsApp zählt unleugbar zu den beliebtesten seiner Art. Internationale Bekanntheit und Plattformunabhängigkeit machen daraus ein beliebtes Ziel für (Spam-) Angriffe. Schwerwiegender dürfte aber sein, dass auch kriminelle Vereinigungen häufig über WhatsApp kommunizieren. In mindestens einem bekannten Fall konnte eine terroristische Vereinigung bereits durch abgefangene WhatsApp-Protokolle enttarnt werden.
Die Facebook-Tochter WhatsApp arbeitet mit gesicherter End-to-End-Verschlüsselung, wodurch Facebook selbst per Gesetz nicht dazu gezwungen werden kann, die Daten von WhatsApp-Nutzern freizugeben. Als Schlüsselloch muss daher immer das Endgerät dienen, das entweder direkt vorliegt oder auf das mittels online gesicherter Daten indirekt zugegriffen werden kann.
-
WhatsApp verschlüsselt seine Backup-Dateien in der Cloud. Um die verschlüsselten Backups zu entschlüsseln, wird ein einmaliger Zugang zur registrierten Telefonnummer oder SIM Karte des Nutzers benötigt. Der generierte Decryption Key kann anschließend für alle vorhandenen und zukünftigen Backups verwendet werden, die auf iCloud Drive erstellt wurden (für Google Drive nur vorhandene). Alternativ kann der Verschlüsselungsschlüssel von jailbroken iPhones mit der Elcomsoft iOS Forensic Toolkit-Keychain-Extraktion abgerufen werden.
-
Binäre Authentifizierungstoken können mit dem Programm 'Elcomsoft Phone Breaker' von Desktop-Rechnern extrahiert werden. Das Extrahieren des Tokens ist auch mit der freien Testversion von Elcomsoft Phone Breaker möglich.