image

Verwijderde WhatsApp-berichten toch terug te halen

vrijdag 29 juli 2016, 12:15 door Redactie, 8 reacties

WhatsApp-berichten die gebruikers verwijderen zijn toch nog terug te halen, zo stelt iOS-onderzoeker en beveiligingsexpert Jonathan Zdziarski. WhatsApp biedt gebruikers de optie om alle chats te verwijderen, maar de berichten zijn dan niet echt weg. De enige oplossing is het verwijderen van de app zelf.

Voor zijn onderzoek besloot Zdziarski verschillende WhatsApp-berichten te archiveren en te verwijderen. Hoe de berichten ook verwijderd worden maakt niets uit. Alle berichten waren nog steeds in de database van de chat-aplicatie terug te vinden. Volgens de onderzoeker is dit een veelvoorkomend probleem bij iOS-applicaties die SQLite als database gebruiken. Als een record in deze database wordt verwijderd, wordt die aan een "beschikbaar" lijst toegevoegd.

Beschikbare records worden echter niet overschreven totdat de database meer ruimte nodig heeft. Als gebruikers grote hoeveelheden berichten in één keer verwijderen, zal een groot aantal records beschikbaar worden, wat uiteindelijk nog langer kan duren voordat ze worden overschreven, aldus Zdziarksi. Volgens de onderzoeker speelt het probleem niet alleen bij WhatsApp, maar ook bij Apple's iMessage.

Het bewaren van verwijderde gegevens op een beveiligd apparaat is meestal geen groot probleem, gaat Zdziarski verder. Als de data echter eenvoudig van het apparaat zijn te halen, zoals met de WhatsApp-database het geval is, vormt het een ernstig privacyprobleem, merkt hij op. "Dat is helaas wat er hier aan de hand is en waarom gebruikers dit moeten weten."

De WhatsApp-chatdatabase wordt namelijk bij het maken van iPhone-back-ups gekopieerd, wat inhoudt dat het in de iCloud-back-up en desktop-back-up terecht zal komen. De back-ups op desktop zijn te versleutelen via de "Encrypt Backups" optie in iTunes. Dat geldt echter niet voor de back-ups in iCloud. Het versleutelen van de desktop-back-ups en uitschakelen van iCloud-back-ups wil nog niet zeggen dat gebruikers veilig zijn. Als de gebruiker een zwak wachtwoord gebruikt kan de desktop-back-up alsnog worden ontsleuteld.

Tips

Zdziarski geeft vervolgens tips hoe WhatsApp het probleem kan verhelpen en wat iOS-gebruikers kunnen doen. Gebruikers kunnen via iTunes een lang en complex back-upwachtwoord voor hun telefoon instellen. Dit wachtwoord moet niet in de keychain worden opgeslagen, omdat die anders via forensische tools achterhaald kan worden. Ook kunnen gebruikers ervoor kiezen hun apparaat via Configurator te 'pairen'. Daarnaast moet het maken van iCloud-back-ups worden uitgeschakeld en moet WhatsApp periodiek van het toestel worden verwijderd en opnieuw geïnstalleerd om oude berichten echt te verwijderen.

Image

Reacties (8)
29-07-2016, 12:32 door Anoniem
Goeie tip, maar volgens mij als je privacy wil dat je dan ook niet whatsapp gaat gebruiken. Het is trouwens wel raar dat de berichten in de database geen encryptie hebben.
29-07-2016, 13:02 door Anoniem
Diverse iOS en Android herstel software weergeven ook ''verwijderde Whapsapp berichten'' (FonePaw/Reincubate etc.). Oud nieuws dus.
29-07-2016, 15:09 door Anoniem
Gebruik Whatsapp niet, of alleen voor onbenulligheden (waarbij je dan wel metadata genereert die je sociale netwerk blootleggen).
29-07-2016, 15:30 door Anoniem
Oud nieuws dit is allang bekend..
29-07-2016, 18:50 door Anoniem
Door Anoniem: Goeie tip, maar volgens mij als je privacy wil dat je dan ook niet whatsapp gaat gebruiken. Het is trouwens wel raar dat de berichten in de database geen encryptie hebben.

Hoezo? Denk dat WhatsApp uitgaat van OS-level encryptie. Je kan de database wel encrypten, maar waar sla je de key op? Niet in de cloud overduidelijk, dus dan maar plain-tekst op het toestel zelf. Dan kan je je (terrecht) afvragen of dat niet gewoon schijnveiligheid is..
29-07-2016, 20:44 door johanw
Door Anoniem: Goeie tip, maar volgens mij als je privacy wil dat je dan ook niet whatsapp gaat gebruiken. Het is trouwens wel raar dat de berichten in de database geen encryptie hebben.
Onder Android in elk geval wel, van iOS zou ik het niet weten. Echter, de sleutel om die databases te ontcijferen staat ook in de telefoon (dat moet wel want er zit geen wachtwoordbeveiliging op Whatsapp). Welliswaar staat die op een plaats waar niet zomaar aan te komen is, maar er zijn backup tools voor Whatsapp (https://play.google.com/store/apps/details?id=com.smeiti.wstotext) die met rootrechten die key kunnen inlezen en zo Whatsapp conversaties naar html exporteren.
31-07-2016, 07:41 door karma4
Leuk resultaat dat verwijderde data achter kan blijven in de database. Met de databases die ik gezien heb is dat op core niveau heel normaal. De organisatie zit in eenheden van blokken met allerlei verwijzingen. Met random IO is er en een snelle benadering en beperkt IO gebruik. Met acid is het deleten een achteraf gebeuren.
Het gekke is dat er her en der instructies rondzwerven dat als je je geheugen schoon wilt hebben dat je dat zelf vooraf zo apart moet initialiseren. Het heeft pas zin als je het standaard achteraf doet zodra informatie niet neer nodig is.
02-08-2016, 08:16 door Anoniem
Leuk, doch eigenlijk niet zo raar. WhatsApp (en talloze andere pakketten die SQLite gebruiken) geen normaliter geen VACUUM uit na een DELETE.
https://sqlite.org/lang_vacuum.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.