Oggi per diletto ho provato a capire come estrarre le chat da WhatsApp installato su un telefonino Android. Prima di tutto bisogna sfogliare le directory del telefono e giunger qui: /sdcard/WhatsApp/Databases/msgstore.db.crypt
Il database msgstore.db.crypt è un db sqlite criptato, ma cercando su Internet si scoprono almeno due sistemi semplici e veloci per decriptarlo:
Dove la chiave è 346a23652a46392b4d73257c67317e352e3372482177652c
ed il file di output è il database in chiaro msgstore.db, che possiamo aprire e consultare con un qualsiasi programma, che legge i db sqlite, come SQL Lite database browser.
Le cose strane sono due: 1) Non ci sono tutti i messaggi, per esempio alcuni si fermano a fine Giugno, altri arrivano fino a Luglio, ma non fino all'ultimo messaggio. 2) Ho provato a cancellare qualche messaggio e nonostante sul blog di Zena Forensics dicano che non è possibile recuperare i messaggi cancellati, dopo il decrypting quei due messaggi sono ancora visibili. Analizzando i contenuti delle tabelle dell'SQL Lite DB msgstore.db, non noto nemmeno dei flag che indichino se i messaggi sono i status di deleted o active....
Quindi chiedo alla rete, qualcuno ne sa qualcosa?
UPDATE 03/Agosto/2013
Da un contributo di un utente di CFI si è giunti a conclusione che il msgstore.db.crypt è solo un db di backup non completo, mentre il vero db è msgstore.db ed è in chiaro e raggiungibile solo col telefono rootato o col dump fisico con strumenti come UFED.
/data/data/com.whatsapp/database
Era immaginabile, ma speravo che per una volta non vi fosse bisogno di esser root, ma bastava il db raggiungible da user.