エンドツーエンドで暗号化された WhatsApp サービスは、以前に削除されたチャットの痕跡をデバイスのストレージに残しており、物理的なデバイスへのアクセスや iCloud バックアップのために Apple に発行された令状を通じてフォレンジックの取得が可能になります。
セキュリティ研究者ジョナサン・ズジアルスキー発見しましたを通じて行われたチャットを真に削除する唯一の方法コミュニケーションアプリ, アプリを完全に削除することです。 Zdziarski 氏は、削除後も、アプリのデータベース上のチャットへのポインタのみが削除され、OS とアプリが以前使用していたチャットの保存場所を上書きするまで、実際のチャットの記録はそのまま残されていることを発見しました。
削除されたチャットの取得は、さまざまな削除取り消しアプリが誤って削除されたファイルを見つける方法と同様に実行されます。
ブロックに書き込む必要があるデータの量に関係なく、フラッシュ メディア コントローラーは、書き込み時にフラッシュ メディアのブロック全体を処理します。たとえブロックの一部に書き込む必要があるだけであってもです。完全に空のブロックへの書き込みは、ドライブが部分的に満たされているブロックをキャッシュにコピーする必要がなく、セルを完全に上書きする前にキャッシュに変更を加える必要がないため、高速になります。
その結果、最新のオペレーティング システムは速度を重視してこれらのセクターを優先します。以前にデータが含まれていたメディアのセクターは、ゼロ化されたセクターが利用可能になった後に書き込まれるため、WhatsApp がユーザーの削除後に保存されたチャットを完全に消去しないという問題が悪化します。
Zdiziarsky氏によると、何が書き換えられたのか、何が保持されたのかに関係なく、「WhatsAppチャットデータベースはバックアップ中にiPhoneからコピーされる。つまり、iCloudバックアップとデスクトップバックアップに表示されることになる」という。ただし、iCloud バックアップは iTunes の設定を考慮せず、暗号化されません。
この欠陥の悪用は簡単ではありませんが、電話に物理的にアクセスできる人は誰でも、アクセスが許可されていれば、その電話でバックアップを作成できる可能性があると Zdziarski 氏は指摘します。さらに、バックアップが保存されているコンピュータに物理的にアクセスできる人なら誰でも、バックアップをコピーできます。これは、キーチェーンからパスワードを回復することで簡単に行えます。
法執行機関は Apple に対して令状を発行して、暗号化されていないデータベースも入手し、それを既存のフォレンジック ツールに入力して、メディアにまだ存在する削除されたメッセージを取得する可能性があります。さらに、場所によっては、保存されているキーチェーンのパスワードにアクセスするために macOS でユーザー認証情報を送信し、その方法で iTunes バックアップを取得することが法的に強制される可能性があります。
Zdziarski 氏はまた、ユーザーがデバイスからアプリケーションを定期的に削除し、再インストールすることを推奨しています。これにより、データベースとそのすべてのコンテンツが完全に消去されます。これが、「削除されたレコードをフラッシュして新たに開始する唯一の方法と思われます」。
このセキュリティ研究者は、WhatsApp 開発者が Apple の暗号化された CoreData ルーチンに移行することも提案しています。
Zdziarski 氏は、iPhone の発売以来、iOS のセキュリティを詳しく調査してきました。彼は議論した2016年3月にFBIがサンバーナーディーノ銃撃犯のiPhone 5cからデータをどのようにして取得できたのか。さらに、彼は最初の発見者システムの発見後、2 番目の iOS 10 ベータ版では大量のサービスが暗号化されていないカーネルキャッシュ暗号化されていないこと。
Isamu 
Isamu 
Isamu