对不起,女士们先生们,虽然权威专家会讨论在WhatsApp上检查出的加密技术,但最新版本的WhatsApp应用程序测试结果显示,它看起来好像会对你所有的微信聊天进行取证跟踪,即使你删除、清除或存档它们,甚至你“消除你所有的微信聊天”。事实上,解决它们的唯一方法似乎是彻底删除应用程序。
为了更好地检测,我安装了应用程序并打开了许多不同的进程。然后我就备案了一些,淘汰了一些,删除了一些流程。我在WhatsApp里运行了“消除所有闲聊”的功能后做了第二次备份。这种删除或归档的选项并不具备所有的效果,删除记录仍被保存。在所有情况下,被删除的SQLite记录仍然完整地保存在数据库中。
一个共同的问题。
取证追踪在所有应用SQLite的应用中非常普遍,因为SQLite不容易在iOS上默认完全清空数据库(也许是为了更好地避免磨损)。删除一条记录时,只是将其添加到一个“已发布的目录”中,但已发布的记录并不容易被覆盖,直到不得不额外存储数据库时(通常是在建立大量记录后)才会被覆盖。如果你删除了很多信息,会导致很多记录最后都在这个“发布目录”里,数据信息被新的数据信息覆盖需要更长的时间。并且不能保证该数据信息将被下一组信息覆盖。在其他应用中,我经常看到数据库中的记录可以保存几个月。
这里的关键问题是,瞬态通信在硬盘上不是瞬态的。这是苹果一直担心的难题。我会在这个博客里表达出来,并提出一些设计建议。
iPhone的iMessage也有这个问题。不用说,更惨,但至少一样惨。你的SMS.db存储在云备份上,但它的组副本也存储在你的iPad、你的桌面系统和所有其他你接受iMessage的地方。被删除的内容将遭受同样的命运。
考虑这种情况的“更强”方法是根据应用程序批准的取证跟踪级别。从本质上来说,单个审批是没有效果的,没什么好担心的,也不容易导致乱象的去除。Wickr使用iPhone的CoreData,用钥匙链中存储的密钥对他们的数据库进行加密(更安全)。其他应用程序应该很好地理解它们允许的证据踪迹的大小。
复制到备份
简单地将删除的数据信息保存在安全设备上一般不是关键问题,但当数据信息可以像WhatsApp数据库一样自由地从机器中排出时,就会导致相当严重的隐私保护风险。可悲的是,它发生在WhatsApp上,这就是为什么客户应该知道这件事。
WhatsApp的聊天数据库会在iPhone备份期间被复制,这意味着它可能会出现在你的iCloud备份和桌面备份中。幸运的是,在iTunes打开时,桌面备份可以根据“加密备份”选项进行加密。可悲的是,iCloudbackup并没有遵循这种加密方式,使得WhatsApp数据库成为审计的直接证据。
关闭iCloud,开启加密进行桌面备份,并不一定意味着可以走出困境。如果您使用明文密码,并且根据流行的取证工具(如Elcomsoft模块专用工具)可以破译该密码,则您的备份可以被破译。还有一些其他特殊工具可以用来攻击您桌面上的钥匙链,这是许多客户存储备份登录密码的区域。
这是什么意思?
1.执法部门很有可能会给iPhone提供一个授权,获取你被删除的WhatsApp微信聊天记录,里面可能有你被删除的信息。你的iCloud备份内容不会用你的备份登录密码加密(是iPhone,不是WhatsApp)。
注:我这里指的是“iCloud备份”,它是独立的,与你是否应用WhatsApp内嵌的iCloud无关。
2.每个在物理上浏览你手机的人都可以创建一个备份,如果浏览是强制的(比如指纹识别,登录密码,或者只是保持打开)。此内容将使用您的备份登录密码加密(如果您已经设置了一个)。
3.任何浏览你电子计算机物理的人,都可以从当前的、未加密的备份中复制这类数据信息,或者使用专门的密码破解工具破解,或者从你的钥匙链中修复登录密码。如果你的登录密码在我们国家也被限制,执法机构很可能会强迫你提供帮助。
那么,有人应该焦虑吗?
嘿嘿,没有,但是你应该知道WhatsApp的这个问题。
最终用户应该如何减轻这种危险?
1.使用iTunes为手机设置一个又长又复杂的备份登录密码。没必要把你的登录密码存在钥匙链里,否则很可能会按照Mac取证的专用工具修复。那样的话,所有的桌面备份都会在手机上加密,连取证的专用工具都无能为力。
注意:如果您的密码在我们国家受到限制,您可能仍然需要出示执法部门的备份登录密码。
2.考虑到应用过程,双重锁定您的机器和设备。所以我看过一个 *** 作程序,可以防止别人窃取你的登录密码,或者开车带你进行指纹识别,或者对你的手机应用取证工具。但是这种方法是不可逆的,无法修复的,所以你需要考虑这样做的风险。
3.禁止使用iCloud备份,因为不容易用你的备份登录密码进行加密,执法部门可以根据一个授权得到这个密文数据库。
4.按时从你的机器设备上删除这个应用,重新安装消除数据库。这似乎是清除删除记录,从头开始的唯一方法。
注意:在目前的云空之间的iCloud备份中,不容易删除数据库。
WhatsApp是如何解决这个问题的?
移动电话的创造者应该对他们代码中的法庭追踪敏感。在开发和设计一个安全的消息传递应用时,他们设计方案的选择对于新闻工作者、政治和冶金中的暴力革命、我国不重视言论自由的人们等等,都有着特别重要的现实意义。在现实生活中,一个考虑不周的设计方案的选择,很可能导致无辜者的入狱,有时对每个人都是随意的重要。
有各种方法可以减轻这种伤害,WhatsApp可以从他们未来版本号的应用中进行选择:
1.SQLite数据库根本不需要出现在备份中。文档本身可以通过这种方式识别,但不需要备份。厂家很可能会设置这种个人行为,这样很容易维修一台新的机器设备,也不容易导致你丢失信息记录。可悲的是,对于这个角色来说,最合适的计划是更容易获得这个数据库的组副本。
2.在《iOS应用安全攻防》这本书里,我总结了一种技术,可以把SQLite记录内容覆盖到之前删除的记录所在的“地方”上。虽然记录本身仍然在发布的目录中,但是应用这种技术可以消除内容。
3.应用额外的存储备份(如原始文档或加密的核心数据)会安全得多。系统非常容易完成,在iPhone的加密方案中,删除一个文档,文档加密密钥也会丢失。可能没有SQLite漂亮,但是iPhone的文档级加密对于删除文档更安全。Wickr加密CoreData的方式也是非常安全的,如果数据库密钥还保存在手机里的话。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)