U ovom radu istražila sam kako analizirati podatke koje aplikacija WhatsApp ostavi na uređajima sa iOS operacijskim sustavom. Iako postoje već gotovi alati s kojima je to jednostavan posao, oni se većinski plaćaju ili su za njih potrebne posebne licence. Zbog toga sam se odlučila poslužiti besplatnim alatima koji su dostupni svima. Nakon što se napravi sigurnosna kopija uređaja, pomoću alata iExplore može se između ostalog doći do ChatStorage.sqlite baze podataka koja sadrži puno zanimljivih informacija o razmijenjenim porukama. U radu sam objasnila kako se dođe do tih podataka te kako se oni mogu pregledati koristeći jednostavan alat za pregled i uređivanje baza podataka.

Ključne riječi: forenzika mobilnih aplikacija, WhatsApp, iOS

S obzirom da gotovo svaka odrasla osoba ima neki oblik pametnog telefona, nije čudno da se forenzika mobilnih uređaja sve više razvija i privlači pozornost raznih institucija (npr. pravosuđa, policije, vojske, …). Ona se bavi oporavkom digitalnih podataka i dokaza sa mobilnih uređaja. Iako ima velik broj operacijskih sustava za pametne telefone, više od 99% korisnika koristi uređaje sa Android ili iOS operacijskim sustavom. U ovom radu istražiti ću forenziku iOS operacijskog sustava koji koristi nešto više od četvrtine korisnika.

Trenutno najpopularnije aplikacije na pametnim telefonima su društvene mreže koje omogućavaju korisnicima međusobnu komunikaciju, te pogotovo aplikacije za razmjenu trenutnih poruka. Najpopularnija takva aplikacija je WhatsApp Messenger koju trenutno koristi skoro 3 milijarde korisnika. Ona pohranjuje puno osobnih podataka na uređaju. Zbog toga, njene baze podataka su jedan od vodećih izvora dokaza za pomoć pri rješavanju sudskih slučajeva.

Zbog raznih uređaja i aplikacija na njima, postoje razni softverski i hardverski alati za forenzičku analizu koji se specijaliziraju za određeno područje. U ovom radu obraditi ću korištenje besplatnih alata i pokazati kako se u samo par koraka može doći do korisnih informacija.

WhatsApp aplikaciju, osnovanu 2009. godine od strane Jana Kouma i Briana Actona, koristi skoro 3 milijarde korisnika u preko 180 zemalja. To je trenutno najpopularnija mobilna aplikacija za razmjenu poruka. Ona nudi jednostavnu i sigurnu razmjenu poruka, glasovne i video pozive te dijeljenje dokumenata, fotografija, videozapisa, kontakata, trenutne lokacije, itd. Podržava različite platforme, uključujući Android, iOS, Windows Phone, te se može koristiti i u pregledniku na osobnim računalima. Potpuno je besplatna za korištenje, a korisnik se registrira svojim brojem mobitela, te ga kasnije preko njega ostali korisnici mogu pronaći u aplikaciji.

Apple, osnovan 1976. godine u Kaliforniji od strane Stevea Jobsa, Stevea Wozniaka i Ronalda Waynea, predstavio je prvi mobilni operativni sustav “iPhone OS 1” 2007. godine. iOS je Unix-sličan Darwin baziran zatvoreni mobilni operativni sustav, a koristi se na iPhoneu, iPod Touchu i iPadu. Zbog održavanja velikog stupnja sigurnosti, aplikacije se na uređaje koji koriste iOS mogu instalirati samo s App Storea i iTunesa. iOS je drugi najpopularniji mobilni operativni sustav s oko 29% tržišnog udjela.

S obzirom da je oporavak podataka s mobilnih uređaja u čestim slučajevima potrebno napraviti (i zbog zakonskih ali i osobnih potreba), postoje razni alati koji to postižu. Međutim, velika većina njih se plaća ili je čak za njih potrebna licenca koju je teško dobiti (npr. za Magnet AXIOM, Cellebrite UFED). Za ta dva alata sam probala nabaviti licencu za besplatni trial, ali nisam ju uspjela dobiti. Također, neki od open source alata koje sam pronašla ne podržavaju najnoviji iOS 17. Ipak, kombiniranjem nekoliko besplatnih alata uspjela sam postići željeni rezultat. Naravno, taj postupak je bio duži i kompliciraniji od korištenja gotovih programa, ali dostupan je svima koji ga žele isprobati.

Za analizu WhatsApp podataka koristila sam redom iTunes, iExplorer, te DB Browser for SQLite. Analizirala sam podatke sa svog mobitela koji je iPhone 13 Pro i trenutno je na iOS verziji 17.2.1.

Prvi korak u akviziciji podataka bio je stvaranje iTunes sigurnosne kopije mojeg mobitela. Ovaj korak sam napravila jer je na taj način najlakše obraditi podatke u memoriji uređaja, a i forenzičari najčešće dobiju materijale za obradu upravo u ovakvom obliku. ITunes je besplatna aplikacija tvrtke Apple koja služi za spremanje i reprodukciju raznih medija, te upravljanje Apple uređajima. Između ostalog, koristi se za stvaranje sigurnosne kopije cijelog mobilnog uređaja, što je meni bilo zanimljivo za ovaj rad.

Pošto moj mobitel ima dosta memorije (256 GB), stvaranje sigurnosne kopije potrajalo je par sati, te je na kraju bila veličine 160 GB. Zbog velike količine memorije koja je potrebna za spremiti kopiju, morala sam preusmjeriti spremanje kopije na vanjsku memoriju mog računala.

Datoteke u sigurnosnoj kopiji same po sebi ništa ne znače, te se iz njih ne može golim okom ništa pročitati. Zato postoje posebne aplikacije koje razumiju format kopija, te mogu korisniku izvuči informacije koje ga zanimaju. Upotrijebila sam besplatnu aplikaciju iExplorer koja radi upravo to. Ona iz kopije izvuče mnoge direktorije uključujući razne medijske sadržaje, dokumente pohranjene na uređaju, podatke raznih aplikacija, te spremljene postavke, informacije za autentifikaciju korisnika i slične stvari.

Mene je zanimao direktorij 'group.net.whatsapp.WhatsApp.shared'. U njemu se nalaze svi podatci koje je aplikacija WhatsApp ostavila na uređaju. Dio sadržaja tog direktorija može se vidjeti na slici 1. Mnoge informacije se mogu pronaći ovdje kao npr. moja pozadina ('current_wallpaper.jpg' i 'current_wallpaper_dark.jpg'), naljepnice koje imam spremljene, te razni mediji koji su poslani. Međutim, u većini slučajeva najbitnija datoteka je 'ChatStorage.sqlite'. To je baza podataka koja sadrži informacije o razmijenjenim porukama.

             Slika 1: Direktorij sa WhatsApp datotekama
                   pronađenim u sigurnosnoj kopiji

Neki od ostalih zanimljvih dokumenata/direktorija su sljedeći:

1. BackedUpKeyValue.sqlite - sadrži kriptografske ključeve i ostale podatke potrebne da se identificira vlasnik računa
2. Contacts.sqlite - sadrži informacije o kontaktima korisnika (imena, brojevi mobitela, statusi kontakata, WhatsApp identifikatori, i sl.)
3. consumer_version - sadrži verziju WhatsAppa instaliranu na uređaju
4. blockedcontacts.dat - sadrži informacije o blokiranim kontaktima
5. pw.dat - sadrži kriptiranu lozinku
6. Media/Profile - sadrži sličice kontakata i grupa
7. Message/Media - sadrži multimedijalne datoteke

Nakon što sam 'ChatStorage.sqlite' bazu podataka exportala na disk, pomoću alata 'DB Browser for SQLite' mogla sam pretraživati tu bazu. To je vizualni alat otvorenog koda za stvaranje, uređivanje i pretraživanje baza podataka kompatibilnih sa SQLiteom. Otvorila sam ChatStorage.sqlite bazu u toj aplikaciji i prikazale su se tablice koje se mogu vidjeti na slici 2.

             Slika 2: Tablice u ChatStorage.sqlite bazi podataka

Tablica koja je najzanimljivija i koju ću detaljnije pogledati je ZWAMESSAGE (sadrži sve razmijenjene poruke i informacije o njima). Na slici 3 može se vidjeti dio sadržaja tablice ZWAMESSAGE. Zamutila sam određene dijelove tablice, međutim i dalje se može vidjeti kakav sadržaj se tamo prikazuje.

             Slika 3: Dio ZWAMESSAGE tablice

U tablici postoje 34 stupca, neki od njih se ne koriste, neki nisu jasni za što se koriste ali oni najbitniji za forenziku su sljedeći:

1. ZSENTDATE - vrijeme kada je poruka poslana u Cocoa Core Data Time formatu (taj format je drugačiji od ostalih formata koji računala koriste i ne počinje od 1.1.1970., nego od 1.1.2001. i Apple ga koristi iz nekog razloga), konverter iz toga formata u čitljiv format može se pronaći na ovoj poveznici
2. ZFROMJID - WhatsApp identifikator korisnika koji je poslao poruku ili NULL ako se radi o odlaznoj poruci
3. ZMEDIASECTIONID - mjesec i godina kada je poslana medijska datoteka ili NULL ako se radi o tekstualnoj poruci
4. ZTEXT - tekstualni sadržaj poruke
5. ZTOJID - WhatsApp identifikator korisnika kome je poslana poruka ili NULL ako se radi o dolaznoj poruci

Ostale zanimljive tablice u ChatStorage.sqlite bazi podataka su:

1. ZWAMEDIAITEM - sadrži podatke o svim razmijenjenim medijskim sadržajima poput fotografija, videozapisa, dokumenata i sličnog
2. ZWAPROFILEPUSHNAME - povezuje WhatsApp identifikator sa imenom kontakta
3. ZWAPROFILEPICTUREITEM - povezuje WhatsApp identifikator sa profilnom fotografijom kontakta
4. Z_PRIMARYKEY - sadrži generalne informacije o bazi podataka poput potpunog broja spremljenih poruka, broja razgovora i slično

Forenzička analiza iOS operativnog sustava važno je područje računalne forenzike, jer Apple uređaje koristi značajan udio korisnika pametnih telefona. Fokus rada bio je na WhatsApp Messengeru kao izvoru relevantnih podataka. Unatoč dostupnosti komercijalnih alata, istražila sam besplatne opcije, koristeći iTunes, iExplorer i DB Browser for SQLite. Saznala sam da pristupom ChatStorage.sqlite bazi podataka, mogu otkriti važne informacije o razmijenjenim porukama i medijskim datotekama. Ovaj rad ističe važnost pristupačnosti besplatnih forenzičkih alata široj zajednici, te demonstrira mogućnost postizanja značajnih rezultata s njihovom upotrebom.

[1] Forensic Analysis of WhatsApp Messenger on iOS Smartphones https://www.ijcseonline.org/pub_paper/1-IJCSE-08330.pdf

[2] WhatsApp in Plain Sight: Where and How You Can Collect Forensic Artifacts https://www.group-ib.com/blog/whatsapp-forensic-artifacts/

[3] Mobile Operating System Market Share Worldwide https://gs.statcounter.com/os-market-share/mobile/worldwide/

[4] How Many Users Are on WhatsApp? User Statistics and Trends (Jan 2024) https://www.bankmycell.com/blog/number-of-whatsapp-users/#:~:text=Our%20estimates%20show%20that%20WhatsApp%20currently%20has%20more%20than%202.7,or%20367%20million%20more%20users.

[5] WhatsApp Wikipedia https://en.wikipedia.org/wiki/WhatsApp

[6] iOS Wikipedia https://en.wikipedia.org/wiki/IOS

[7] iTunes https://www.apple.com/itunes/

[8] iExplorer https://macroplant.com/iexplorer

[9] DB Browser for SQLite https://sqlitebrowser.org/