NewsSecurity

Update für WhatsApp-Extraktionstool mit weiteren neuen Funktionen

ElcomSoft veröffentlicht ein umfassendes Update seines ‚Elcomsoft Explorer für WhatsApp‘, ein forensisches All-in-one-Tool zum Extrahieren, Entschlüsseln und Analysieren der WhatsApp-Chat-Verläufe von Benutzern. Mit Update 2.30 ist das Tool ab sofort in der Lage, WhatsApp-Backups zu extrahieren und zu entschlüsseln, die von der Android-App erstellt und im Google-Benutzerkonto gespeichert wurden.

„Mit mehr als 1,3 Milliarden aktiven Nutzern ist WhatsApp das mit Abstand beliebteste Instant-Messaging-Tool in Europa und Nordamerika“, sagt Vladimir Katalov, CEO von ElcomSoft. „Aufgrund seiner Popularität wird WhatsApp auch häufig von Kriminellen benutzt. Mit unserem Tool können Ermittler nun auf verschlüsselte WhatsApp-Chat-Verläufe von Android-Nutzern zugreifen, die in Google Drive gesichert sind – vorausgesetzt, sie verfügen über die Authentifizierungsdaten des Benutzers und können einen Bestätigungscode an die WhatsApp-Telefonnummer des Benutzers senden.“

Elcomsoft Explorer für WhatsApp in der Version 2.30 bietet die Möglichkeit, WhatsApp-Backups für Android-Geräte direkt aus dem Google-Konto des Nutzers zu extrahieren, kryptographische Schlüssel von WhatsApp-Servern abzurufen und den Inhalt von WhatsApp-Backups einschließlich Chat-Verläufen zu entschlüsseln. Die Entschlüsselung ist allerdings nur mit Zugriff auf eine verifizierte Telefonnummer oder SIM-Karte möglich, und erfordert eine Authentifizierung im Google-Konto des Benutzers. Ein WhatsApp-Verschlüsselungsschlüssel muss nur einmal abgerufen werden und kann für alle zuvor erstellten sowie alle zukünftigen Sicherungen für eine bestimmte Kombination aus Google-Konto und Telefonnummer verwendet werden. Das Tool ermöglicht das automatische Herunterladen und Entschlüsseln von WhatsApp-Backups und verfügt zudem über einen integrierten Viewer.

Falls ein Forensik-Experte nicht auf die SIM-Karte oder die vertrauenswürdige Telefonnummer des Benutzers zugreifen kann, bietet Elcomsoft Explorer for WhatsApp die Möglichkeit, auf Kontakte und Mediendateien (Bilder und Videos) zuzugreifen, die der Benutzer mit WhatsApp gesendet und empfangen hat.

Seit einigen Jahren verschlüsselt WhatsApp seine Backup-Datenbanken. Dies betrifft sowohl Standalone- als auch Cloud-Backups, die von der App erstellt werden und mit der branchenüblichen AES-256-Verschlüsselung geschützt sind. Der Verschlüsselungs-Key wird von WhatsApp zum Zeitpunkt der ersten Sicherung generiert. Der Schlüssel wird dann dem Konto und der Benutzer-Telefonnummer eindeutig zugewiesen. Wenn der Benutzer mehrere WhatsApp-Konten und nur ein Google-Konto hat, verwendet jedes WhatsApp-Konto einen eindeutigen Encryption-Key. Erschwert wie dies durch die Tatsache, dass die Verschlüsselungsschlüssel auf WhatsApp-Servern gespeichert sind und niemals über Google Drive gesichert werden.

„Das Extrahieren der Verschlüsselungs-Keys von einem lokalen Android-Gerät ist nur möglich, wenn das Telefon gerootet ist. In Anbetracht der Verbesserungen in den letzten Versionen von Android ist der Root-Zugriff für die Mehrheit der modernen Android-Smartphones nicht ohne weiteres verfügbar. Daher ist die Erfassung über die Cloud eine wesentlich praktikablere Lösung“, erklärt Katalov. „Hinzu kommt, dass die vielen Versionen von WhatsApp, die in den letzten Jahren veröffentlicht wurden, unterschiedliche Verschlüsselungs-Algorithmen verwenden. Dies erschwert es, ein All-in-one-Erfassungs-Tool zu erstellen, das mit allen Versionen von WhatsApp kompatibel ist“ so Katalov weiter. Eine Schritt-für-Schritt Anleitung zur Erfassung von WhatsApp-Daten ist auf dem ElcomSoft-Blog verfügbar: https://blog.elcomsoft.com/2018/01/extract-and-decrypt-whatsapp-backups-from-google.

Elcomsoft Explorer für WhatsApp ist ab sofort verfügbar. Elcomsoft Explorer for WhatsApp Home steht für 79 Euro zuzüglich Mehrwertsteuer zur Verfügung. Lokale Preise können variieren. Elcomsoft Explorer for WhatsApp unterstützt Windows 7, 8, 8.1, 10 und die Server-Betriebssysteme Windows 2008, 2012 und 2016.

Weitere Informationen: www.elcomsoft.de