Oggi per diletto ho provato a capire come estrarre le chat da WhatsApp installato su un telefonino Android. Prima di tutto bisogna sfogliare le directory del telefono e giunger qui: /sdcard/WhatsApp/Databases/msgstore.db.crypt
Il database msgstore.db.crypt è un db sqlite criptato, ma cercando su Internet si scoprono almeno due sistemi semplici e veloci per decriptarlo:
Dove la chiave è 346a23652a46392b4d73257c67317e352e3372482177652c
ed il file di output è il database in chiaro msgstore.db, che possiamo aprire e consultare con un qualsiasi programma, che legge i db sqlite, come SQL Lite database browser.
Le cose strane sono due: 1) Non ci sono tutti i messaggi, per esempio alcuni si fermano a fine Giugno, altri arrivano fino a Luglio, ma non fino all'ultimo messaggio. 2) Ho provato a cancellare qualche messaggio e nonostante sul blog di Zena Forensics dicano che non è possibile recuperare i messaggi cancellati, dopo il decrypting quei due messaggi sono ancora visibili. Analizzando i contenuti delle tabelle dell'SQL Lite DB msgstore.db, non noto nemmeno dei flag che indichino se i messaggi sono i status di deleted o active....
Quindi chiedo alla rete, qualcuno ne sa qualcosa?
UPDATE 03/Agosto/2013
Da un contributo di un utente di CFI si è giunti a conclusione che il msgstore.db.crypt è solo un db di backup non completo, mentre il vero db è msgstore.db ed è in chiaro e raggiungibile solo col telefono rootato o col dump fisico con strumenti come UFED.
/data/data/com.whatsapp/database
Era immaginabile, ma speravo che per una volta non vi fosse bisogno di esser root, ma bastava il db raggiungible da user.
Articolo 
Storico
Stampa
Feed RSS 0.91
Feed Atom 0.3