Sicherheitsforscher stellt gelöschte WhatsApp-Nachrichten wieder her

Der Sicherheitsforscher Jonathan Zdziarski hat herausgefunden, dass WhatsApp für iOS Chat-Nachrichten nicht vollständig löscht. Ihm zufolge lassen sich verbliebene Reste von Chats sogar zu vollständigen Konversationen zusammenfügen – und zwar über einen Zeitraum von mehreren Monaten hinweg.

„Es sieht so aus, als würde die jüngste Version der App forensische Spuren aller Chats hinterlassen, selbst wenn man sie gelöscht, bereinigt oder archiviert hat“, schreibt Zdziarski in seinem Blog. „Tatsächlich scheint der einzige Weg, sie loszuwerden, die vollständige Löschung der App zu sein.“

Unter iOS erlaubt die SQLite-Datenbank von WhatsApp die Wiederherstellung gelöschter Chat-Nachrichten (Screenshot: Jonathan Zdziarski).Dem Forscher zufolge speichert WhatsApp alle Nachrichten in einer SQLite-Datenbank. „Nur damit es klar ist, WhatsApp löscht den Eintrag (es scheint nicht so, als würden sie absichtlich versuchen, Daten zu erhalten), allerdings wird der Eintrag selbst nicht aus der Datenbank entfernt oder gesäubert, was forensische Artefakte hinterlässt, die eine Wiederherstellung in die ursprüngliche Form erlauben.“

Für seinen Test verfasste Zdziarski mehrere Chats und erstellte aus WhatsApp heraus ein Backup. Danach löschte er alle Nachrichten und sicherte seine Daten erneut. Ein Vergleich der beiden Backupdateien zeigte schließlich, dass die Nachrichten noch vorhanden waren.

Der Forscher weist auch darauf hin, dass auch andere Anwendungen, die SQLite verwenden, Daten nicht vollständig löschen. Das sei unter iOS ein übliches Verhalten von SQLite-Datenbanken. Statt Einträge zu löschen, würde sie nur zu einer Liste mit verfügbaren Einträgen hinzugefügt. Sie würden erst überschrieben, wenn ihr Speicherplatz benötigt werde. Je größer die Anzahl der gelöschten Nachrichten sei, je höher sei die Wahrscheinlichkeit, Spuren der entfernten Chats auch noch nach Monaten zu finden.

Bei Apples eigener Messaging-App iMessage trete das Problem ebenfalls auf, so Zdziarski weiter. Hier sei es möglicherweise sogar noch schwerwiegender, da Kopien der Datenbank „SMS.db“ nicht nur in iCloud, sondern auf allen Geräten gespeichert würden, auf denen ein Nutzer iMessage-Nachrichten empfange.

Aber auch die WhatsApp-Datenbank wird im Rahmen eines iOS-Backups auf iCloud abgelegt. Dort wird das Backup aber nicht verschlüsselt – die Sicherungsdateien eines iOS-Geräts lassen sich nur bei einem Backup per iTunes mit einem Passwort schützen. Ein iCloud-Backup ermöglicht Strafverfolgern also unter Umständen, auf bereits gelöschte WhatsApp-Nachrichten zuzugreifen.

Keinerlei Spuren soll seinen Tests zufolge die Messaging-App Signal hinterlassen. Wickr wiederum verschlüssele seine Datenbank mithilfe von in Apples Keychain gespeicherten Schlüsseln.

[mit Material von Edward Moyer, News.com]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.