Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari2025:lk006909329 [2026/01/21 09:42] Luka Kirinčić [Analiza na Android uređajima] |
racfor_wiki:seminari2025:lk006909329 [2026/01/23 11:15] (trenutno) Luka Kirinčić [Popis literature] |
||
|---|---|---|---|
| Redak 16: | Redak 16: | ||
| ===== Arhitektura WhatsApp aplikacije ===== | ===== Arhitektura WhatsApp aplikacije ===== | ||
| - | |||
| ==== End-to-end enkripcija ==== | ==== End-to-end enkripcija ==== | ||
| WhatsApp od 2016. godine koristi end-to-end enkripciju (E2EE) temeljenu na Signal protokolu. To znači da su poruke kriptirane na uređaju pošiljatelja i dekriptirane samo na uređaju primatelja. Čak ni WhatsApp serveri nemaju pristup nekriptiranom sadržaju poruka. | WhatsApp od 2016. godine koristi end-to-end enkripciju (E2EE) temeljenu na Signal protokolu. To znači da su poruke kriptirane na uređaju pošiljatelja i dekriptirane samo na uređaju primatelja. Čak ni WhatsApp serveri nemaju pristup nekriptiranom sadržaju poruka. | ||
| Redak 24: | Redak 23: | ||
| Za forenzičara to znači da presretanje mrežnog prometa između korisnika i WhatsApp servera neće otkriti sadržaj poruka. Jedini način pristupa je dobivanje podataka izravno s uređaja ili iz backupa. | Za forenzičara to znači da presretanje mrežnog prometa između korisnika i WhatsApp servera neće otkriti sadržaj poruka. Jedini način pristupa je dobivanje podataka izravno s uređaja ili iz backupa. | ||
| + | {{: | ||
| ==== Pohrana podataka ==== | ==== Pohrana podataka ==== | ||
| WhatsApp pohranjuje podatke lokalno na mobilnom uređaju u SQLite bazama podataka. Na Android uređajima, glavni direktorij aplikacije nalazi se na lokaciji / | WhatsApp pohranjuje podatke lokalno na mobilnom uređaju u SQLite bazama podataka. Na Android uređajima, glavni direktorij aplikacije nalazi se na lokaciji / | ||
| - | msgstore.db - glavna baza podataka koja sadrži sve poruke, kontakte i metapodatke | + | * msgstore.db - glavna baza podataka koja sadrži sve poruke, kontakte i metapodatke |
| - | wa.db - baza koja sadrži informacije o korisniku i postavkama | + | |
| - | axolotl.db - baza koja pohranjuje kriptografske ključeve potrebne za Signal protokol | + | |
| - | chatsettings.db - postavke pojedinih razgovora | + | |
| {{: | {{: | ||
| - | Multimedijski sadržaji (slike, video, glasovne poruke) pohranjuju se u direktoriju / | + | Multimedijski sadržaji (slike, video, glasovne poruke) pohranjuju se u direktoriju |
| Na iOS uređajima, WhatsApp podatci pohranjeni su u aplikacijskom sandboxu. Baza podataka naziva se ChatStorage.sqlite i nalazi se u aplikacijskom direktoriju zajedno s drugim pomoćnim datotekama. | Na iOS uređajima, WhatsApp podatci pohranjeni su u aplikacijskom sandboxu. Baza podataka naziva se ChatStorage.sqlite i nalazi se u aplikacijskom direktoriju zajedno s drugim pomoćnim datotekama. | ||
| Redak 61: | Redak 61: | ||
| Lokalni backupi WhatsApp-a kriptirani su pomoću AES-256 algoritma. Ključ za dekriptiranje pohranjuje se u datoteci key koja se nalazi u / | Lokalni backupi WhatsApp-a kriptirani su pomoću AES-256 algoritma. Ključ za dekriptiranje pohranjuje se u datoteci key koja se nalazi u / | ||
| - | === Analiza na iOS uređajima === | + | ==== Analiza na iOS uređajima |
| iOS sustav ima stroža sigurnosna ograničenja u usporedbi s Androidom, što otežava forenzičku analizu. | iOS sustav ima stroža sigurnosna ograničenja u usporedbi s Androidom, što otežava forenzičku analizu. | ||
| * iTunes backup | * iTunes backup | ||
| Redak 69: | Redak 69: | ||
| iCloud automatski sprema backup ako je opcija aktivirana. Pristup iCloud backupu zahtijeva Apple ID i lozinku korisnika. Forenzičke institucije mogu zatražiti pristup putem sudskog naloga, ali to ovisi o jurisdikciji i suradnji s Appleom. | iCloud automatski sprema backup ako je opcija aktivirana. Pristup iCloud backupu zahtijeva Apple ID i lozinku korisnika. Forenzičke institucije mogu zatražiti pristup putem sudskog naloga, ali to ovisi o jurisdikciji i suradnji s Appleom. | ||
| - | {{: | + | {{: |
| * Jailbreak | * Jailbreak | ||
| Redak 93: | Redak 93: | ||
| End-to-end enkripcija čini nemoguće presretanje poruka u prijenosu. Jedini način pristupa sadržaju je kroz krajnje uređaje. Dodatno, lokalna enkripcija backup datoteka zahtijeva pristup enkripcijskim ključevima koji su pohranjeni u zaštićenim dijelovima uređaja. | End-to-end enkripcija čini nemoguće presretanje poruka u prijenosu. Jedini način pristupa sadržaju je kroz krajnje uređaje. Dodatno, lokalna enkripcija backup datoteka zahtijeva pristup enkripcijskim ključevima koji su pohranjeni u zaštićenim dijelovima uređaja. | ||
| - | Newer verzije WhatsApp-a implementiraju dodatne slojeve zaštite koji otežavaju pristup čak i s root privilegijama. Na nekim uređajima s naprednim sigurnosnim čipovima (poput Apple Secure Enclave ili Android StrongBox), ključevi mogu biti hardverski zaštićeni. | + | Novije |
| - | === Cloud backup === | + | ==== Cloud backup |
| Iako cloud backupi mogu olakšati pristup podatcima bez fizičkog posjedovanja uređaja, oni predstavljaju pravne i tehničke izazove. Potrebni su sudski nalozi za pristup cloud servisima, a ne postoji garancija da će cloud servisi surađivati u svakoj jurisdikciji. | Iako cloud backupi mogu olakšati pristup podatcima bez fizičkog posjedovanja uređaja, oni predstavljaju pravne i tehničke izazove. Potrebni su sudski nalozi za pristup cloud servisima, a ne postoji garancija da će cloud servisi surađivati u svakoj jurisdikciji. | ||
| Redak 104: | Redak 104: | ||
| Međutim, postoje scenariji u kojima se izbrisane poruke mogu djelomično povratiti. Ako je uređaj kreirao backup prije nego što su poruke izbrisane, mogu se pronaći u starijim verzijama backupa. Također, poruke mogu postojati u nealociranom prostoru memorije ako još nisu prepisane. | Međutim, postoje scenariji u kojima se izbrisane poruke mogu djelomično povratiti. Ako je uređaj kreirao backup prije nego što su poruke izbrisane, mogu se pronaći u starijim verzijama backupa. Također, poruke mogu postojati u nealociranom prostoru memorije ako još nisu prepisane. | ||
| + | |||
| + | |||
| + | ===== Alati za forenzičku analizu ===== | ||
| + | Postoji niz komercijalnih i besplatnih alata specijaliziranih za forenzičku analizu WhatsApp podataka: | ||
| + | |||
| + | Komercijalni alati: | ||
| + | |||
| + | * Cellebrite UFED - sveobuhvatno rješenje za mobilnu forenziku koje podržava ekstrakciju i analizu WhatsApp podataka | ||
| + | * Oxygen Forensic Detective - napredan alat koji podržava različite metode akvizicije i dekriptiranje WhatsApp baza | ||
| + | * Magnet AXIOM - platforma koja omogućuje analizu WhatsApp podataka iz više izvora | ||
| + | * MSAB XRY - alat specijaliziran za mobilnu forenziku s podrškom za WhatsApp analizu | ||
| + | |||
| + | Besplatni i open-source alati: | ||
| + | |||
| + | * WhatsApp Viewer - jednostavan alat za pregled dekriptirane WhatsApp baze | ||
| + | * DB Browser for SQLite - općeniti alat za pregled SQLite baza podataka | ||
| + | * whacrypt - alat za dekriptiranje WhatsApp backup datoteka | ||
| + | * WhatsApp Key/DB Extractor - skripta koja automatizira proces ekstrakcije ključa i baze podataka | ||
| + | |||
| + | Forenzičari često kombiniraju više alata kako bi dobili najpotpuniju sliku podataka. | ||
| + | |||
| + | |||
| + | ===== Zaključak ===== | ||
| + | Forenzička analiza WhatsApp aplikacije predstavlja značajan izazov zbog implementacije snažnih enkripcijskih metoda i naprednih sigurnosnih mehanizama. End-to-end enkripcija temeljene na Signal protokolu učinkovito onemogućuje pristup porukama tijekom prijenosa, dok lokalna enkripcija backup datoteka zahtijeva pristup kriptografskim ključevima pohranjenim u zaštićenim dijelovima uređaja. | ||
| + | |||
| + | Usprkos tim preprekama, forenzičari mogu koristiti različite pristupe za prikupljanje dokaza. Fizička i logička akvizicija uređaja, analiza cloud backupa te korištenje specijaliziranih alata omogućuju pristup vrijednim podatcima. Razumijevanje arhitekture aplikacije, metoda pohrane podataka i enkripcijskih mehanizama ključni su za uspješnu forenzičku analizu. | ||
| + | |||
| + | Budući razvoj WhatsApp aplikacije vjerojatno će uvesti dodatne sigurnosne mjere koje će dodatno otežati forenzički proces. Forenzičari moraju kontinuirano pratiti tehnološke promjene i prilagođavati svoje metode kako bi ostali učinkoviti u prikupljanju digitalnih dokaza. | ||
| + | |||
| + | |||
| + | ===== Popis literature ===== | ||
| + | [1] WhatsApp Security Whitepaper: https:// | ||
| + | |||
| + | [2] Signal Protocol Documentation: | ||
| + | |||
| + | [3] Umar, R., Riadi, I., & Zamroni, G. M. (2018). Mobile Forensic Tools Evaluation for Digital Crime Investigation. International Journal of Advanced Computer Science and Applications: | ||
| + | |||
| + | [4] Mahajan, A., Dahiya, M. S., & Sanghvi, H. P. (2013). Forensic Analysis of Instant Messenger Applications on Android Devices. International Journal of Computer Applications: | ||
| + | |||
| + | [5] Anglano, C. (2014). Forensic analysis of WhatsApp Messenger on Android smartphones. Digital Investigation: | ||
| + | |||
| + | [6] Walnycky, D., Baggili, I., Marrington, A., Moore, J., & Breitinger, F. (2015). Network and device forensic analysis of Android social-messaging applications. Digital Investigation: | ||
| + | |||
| + | [7] Android Debug Bridge (ADB) Documentation: | ||
| + | |||
| + | [8] SQLite Database File Format Documentation: | ||
| + | |||
| + | [9] Predavanja iz kolegija Računalna forenzika: https:// | ||