Forensik av privata chatt-appar
Det har de senaste åren dykt upp fler och fler appar för de som vill hålla sina konversationer privata. Exempel på funktioner är efemära meddelanden (som försvinner efter läsning eller viss tid) och end-to-end-kryptering, vilket innebär att den sändande mobilen krypterar och den mottagande mobilen dekrypterar, utan att ens tjänsteleverantören kan återskapa meddelandena till klartext.
Men hur är det när meddelandena väl finns på telefonen? Hur lätt är det att se meddelandena för polisen som beslagtagit din telefon, eller för (den mer avancerade) tjuven som stulit den?
Vi tänkte idag göra några enkla test av tre exempel på appar med end-to-end-kryptering, för att se hur mycket av meddelandena vi kan se vid en forensisk utredning av telefonerna.
Testade appar
De appar vi testar idag är:
[1] WhatsApp – Populär chattapp som ägs av Facebook. Hävdar end-to-end-kryptering, men Facebook är ökända för att på diverse snillrika sätt ”spionera” på sina användare. I WhatsApps fall är det metadata de fått kritik att de kartlägger, såsom med vem och när du chattar.
[2] Signal – En open source chattapp framtagen av Open Whisper Systems, som ses som ett seriöst säkerhetsföretag med en väl ansedd kryptolog-ägare som starkt värnar om integritet, och om man nu är en sådan som anser att Edward Snowden vet bäst om allting så är detta chattappen han använder för att hålla sina konversationer privata från FBI etc.
[3] Wickr Me – En chattapp som bland annat hävdar kryptering såväl end-to-end som för meddelanden i vila. Företaget erbjuder även betalversion/företagslösningar för mer funktionalitet.
Samtliga av dessa appar har möjlighet att höja säkerheten ytterligare på olika sätt, till exempel genom att göra meddelandena efemära/tidsbegränsade, men idag använder vi grundinställningar på samtliga appar eftersom de flesta vanliga användare litar på dem samt att jämförelserna blir mer rättvisa.
Testtelefoner
De testtelefoner som används är en Samsung Galaxy S5 (Android 6.0.1) samt en iPhone 5S (iOS 12).
Grundsäkerheten är något större för en ”nyare” iPhone, som för en vanlig forensisk undersökning kräver att den är upplåst och att man därför på något sätt måste komma över eventuell pinkod/lösenord för telefonen.
På Samsungen, likt många andra Androider, går det däremot att gå runt telefonlåset, och man kan dessutom få ut en exakt bit-för-bit-kopia av telefonens hårddisk vilket möjliggör att man även kan söka (”carva”) efter exempelvis bilder som är raderade och ligger på diskens oallokerade utrymme.
Testförfarande
Vi förbereder genom att skicka ”hemliga” meddelanden fram och tillbaks mellan de båda telefonerna med respektive app, både i form av textmeddelanden och bilder tagna med respektive apps inbyggda kamerafunktion.
Därefter förs telefonernas data med hjälp av programmet UFED 4PC över till undersökningsdatorn genom en forensisk filsystemextraktion av iPhone, respektive en “fysisk” forensisk extraktion av Samsung (som även kringgår telefonlåset).
Nu kan vi ladda telefonernas data i undersökningsprogrammet Cellebrite PA och söka efter eventuella spår av meddelandena och bilderna.
Resultat
Vid genomgång av telefonernas data på undersökningsdatorn kan man lätt välja att titta på kategorin ”Chats”, varpå den enda av de testade apparna som visas är WhatsApp. Väljer man att titta på vår testkonversation så ser man att såväl text som bilder visas utan svårigheter för denna app. Samma resultat gäller för båda telefonerna.
Om man tittar på kategorin för installerade applikationer kan man se att samtliga tre appar har upptäckts på telefonen, men enligt kolumnen ”Decoded by” har Cellebrite (undersökningsprogrammet) mycket riktigt inte lyckats tolka Signal eller Wickr Me.
I bilden ovan ser man även vilken version av apparna som körs på telefonen, och vid jämförelse med Cellebrites offentligt stödda versioner för dessa appar inser vi att vi troligen kör på tok för nya versioner av dessa program. Dock testades även en nedgradering av dessa appar till en stödd version, vilket inte gav någon direkt skillnad.
Om man allmänt tittar på vilka bilder som lyckats hittas av undersökningsprogrammet så finns ett antal versioner av de bilder som skickades/tog emot av WhatsApp. Eftersom standardinställningen i WhatsApp är att spara en kopia av all media i meddelandena i ”Kamerarullen”, så finns det en kopia där, sen är det några cachade versioner och thumbnails. Det finns alltså rätt många spår av bilderna från WhatsApp som inte är krypterade eller lätt avkodade av undersökningsprogrammet. Även här fungerade det ungefär lika för såväl iPhonen som Samsungen.
Det sista testet var att ”carva” igenom hela bit-för-bit-avbilden av Samsungdisken för att se om vi kan hitta gömda/raderade bilder. Inte heller detta visade något från Signal eller Wickr, men även här dök bilderna från WhatsApp upp.
Slutsats
Sammanfattningsvis fick resultat enligt tabellen nedan som visar vilken data vi lätt fick ut ur respektive testad app:
| iPhone | Samsung | |
| Text + bilder | Text + bilder | |
| Signal | – | – |
| Wickr Me | – | – |
Att WhatsApp skryter med kryptering end-to-end betyder inte så mycket i en sådant här avseende. Eftersom det nog är mångt mycket vanligare att en telefon blir stulen än att telefonens trafik avlyssnas, känns nästan kryptering av appdata i vila på telefonen viktigare.
Nu har vi idag bara gjort ett snabbt test med forensiska standardmetoder, och det kan givetvis finnas sätt att komma åt mer data från Signal och Wickr Me om man har motivation och lite mer tid till övers för att testa lite mer avancerade tillvägagångssätt. Men till synes verkar Signal och Wickr Me enligt detta test hålla måttet för att kvalificera som säkerhetsappar i detta avseende.
Dock är det ju givetvis så att om man ändå har tillgång till, eller kan kringgå telefonens lås, så kan man ju givetvis komma åt datan genom att bläddra i apparna direkt i telefonen om användaren inte satt ytterligare lås för att starta dem. Detta är enligt mobilforensikens best practice den sist valda metoden att undersöka en telefon på pga risken för beviskontaminering, men det bryr sig kanske inte tjuven om.
Referenser
[1] – https://www.whatsapp.com/
[2] – https://signal.org/