Back-up van WhatsApp gaat niet meer af van opslagcapaciteit Google Drive

Als je een vraag stelt omdat je iets niet weet, trek je over t algemeen geen conclusie tot je t hebt bekeken of je vraag beantwoord is Dus nee, dat betekent het niet - je conclusie klopt niet.

Denk je echt dat ze zo achterlijk zijn? Een encrypt bestand uploaden met de plain-text sleutel erbij is nagenoeg hetzelfde als geen encryptie. De sleutel wordt gegenereerd door WhatsApp. Als je een backup op een ander toestel wilt herstellen moet je eerst inloggen met hetzelfde telefoonnummer en, als je zo slim bent geweest het aan te zetten, je 2FA code ingeven. Je backup wordt binnengehengeld van Google Drive/iCloud, WhatsApp geeft de decryptiesleutel en voila. Zo werkt het ook met iCloud.

Je hebt dus twee partijen nodig tenzij je het weet te bruteforcen (wat natuurlijk een zwakte is bij elke vorm van encryptie.). Google alleen heeft de backup, maar niet de sleutel. WhatsApp alleen heeft niet de backup maar kan wel ontsleutelen. Pas als je ze beiden kan combineren krijg je toegang.

Hier een citaat van een artikel waar het gaat om de iCloud-backups (zelfde principe als Google Drive):

Forensic tools can download that data [vanuit de Cloud] but in order to decrypt it on any device other than the original iPhone, the key is now needed, and that can be obtained only by passing the verification process again. So what Oxygen does is download data backed up by WhatsApp, and they then require a SIM-card with the same number as the user so they can receive the verification code. They can then generate the key and decrypt downloaded data. This is a rather clunky way around the added protection added by WhatsApp, as Oxygen still needs the Apple ID and password (or some other access to the iCloud) and the user's SIM card or phone.

^ m.a.w., om de backup te krijgen én deze decrypten moeten ze 1.) Toegang hebben tot je iCloud (duh.) om de backup te downloaden en 2.) Toegang hebben tot je telefoonnummer, bijv. je simkaart of een gerechtelijk bevel om jou nummer over te mogen nemen - zodat ze de sleutel via WhatsApp krijgen. En optioneel wat niet in het artikel staat dus ook nog 3.) Ze moeten je 2FA-code hebben om door de verificatie in twee-stappen heen te komen, mits je dat hebt ingeschakeld. Anders krijgen ze alsnog de sleutel niet.

Als de sleutel er al bij zou zitten, dan zou het enkel een kwestie zijn van, in dit geval, de overheid die tegen Apple zegt (of in een ander geval tegen Google): geef ons de gehele inhoud van het iCloud/Drive-account en voila: ze hadden de backup én de sleutel. Gelukkig is WhatsApp dus niet helemaal achterlijk en bewaart de sleutel NIET in de cloud, waardoor je óf de hulp van WhatsApp nodig hebt om dat bestand te decrypten óf je moet de simkaart bemachtigen om in te kunnen loggen om de sleutel te krijgen na authenticatie. (En als je goed bezig bent en 2FA aan hebt gezet ("Verificatie in twee stappen") dan hebben ze ook nog die code nodig, anders komt de sleutel alsnog niet binnen.)

En nogmaals: dit geldt uitsluitend voor de berichten. De media zijn niet versleuteld.


-edit-
Trouwens, die software van Elcomsoft (WA Explorer ofzo heet t geloof ik) claimt hetzelfde.
Als je die software wilt gebruiken om je Google Drive backups te lezen, dan moet je eerst een proces doorlopen (WhatsApp opnieuw installeren) zodat bij verificatie de software van Elcomsoft de sleutel "jat" en vervolgens kan het blijven lezen van Google Drive.

The Android version of WhatsApp can back up its communication history into the user’s Google Account, particularly the Google Drive. While WhatsApp does not encrypt media files (pictures and videos) sent and received by its users (making it possible for Elcomsoft Explorer for WhatsApp to extract them even without the cryptographic key), the main communication history, the actual messages, is securely encrypted with an AES-256 based encryption algorithm. The exact algorithm depends on the version of WhatsApp, but one thing is for certain: it simply isn’t possible to decrypt the data without the key.

The encryption/decryption key is generated by WhatsApp servers the first time the user makes a backup. The key is never stored in the [Google] cloud; instead, it is only kept on the device. Whether or not the key can be extracted from the device depends on the version of Android and device’s root status.

Zij gaan niet in op hoe de sleutel dan tussen toestellen wordt overgeheveld als je op een ander toestel je Cloud-backup wilt herstellen (want dat boeit niet voor het doel van hun artikel en zou het iets minder boeiend maken om hun software te kopen .), maar dat is dus hetzelfde proces als in het artikel hierboven waar het uitgelegd wordt hoe het met iCloud werkt.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 21:02]