WhatsApp backup acquisition and decryption for Android platform

Abstract

Экспертам в области цифровой криминалистики необходимы различные инструменты для извлечения данных, один из этапов которого — расшифровка. В частности, нужны инструменты для извлечения данных из мессенджеров, где могут храниться потенциальные улики. Тема настоящей работы предоставлена компанией ООО «Белкасофт». Цель работы — реализация способов получения доступа к резервным копиям Android-приложения WhatsApp. В работе описано получение доступа к резервным копиям баз данных WhatsApp как с Android-устройства, так и из облака Google Drive. Акцент сделан на облачном извлечении, в котором присутствует шаг по генерации ключа. В открытом доступе отсутствуют актуальные решения для генерации ключа. Поэтому в ходе работы проведен реверс-инжиниринг WhatsApp. В результате чего описано: перехваченный трафик WhatsApp; структура ключа расшифровки; декомпиляция и модификация приложения WhatsApp; протокол клиент-серверного взаимодействия с сервером WhatsApp; имитация WhatsApp-аккаунта; архитектура решения по генерации ключа расшифровки; алгоритм генерации ключа. Результатом работы является реализация решения по получению доступа к резервной копии базы данных Android-приложения WhatsApp из облака Google Drive без участия Android-устройства. Решение интегрировано в продукт Belkasoft X.

Digital forensics experts need a variety of tools to extract data, one step of which is decryption. In particular, tools are needed to extract data from instant messengers, where potential evidence can be stored. The topic of this work was provided by Belkasoft LLC. The purpose of the work is to implement ways to access backups of the Android WhatsApp application. The paper describes how to get access to backups of WhatsApp databases both from an Android device and from Google Drive cloud. The emphasis is on cloud extraction, which includes a key generation step. There are no up-to-date solutions for key generation in the public domain. Therefore, in the course of the work, the reverse engineering of WhatsApp was carried out. As a result, the following is described: intercepted WhatsApp traffic; decryption key structure; decompilation and modification of the WhatsApp application; client-server interaction with the WhatsApp protocol; imitation of a WhatsApp account; decryption key generation solution architecture; key generation algorithm. The result of the work is the implementation of a solution for obtaining access to the backup copy of the database of the Android application WhatsApp from the Google Drive clouds without the participation of the Android device. The solution is integrated into the Belkasoft X product.