エンドツーエンドで暗号化されたWhatsAppサービスは、以前に削除されたチャットの痕跡をデバイスのストレージに残しており、物理的なデバイスアクセスやAppleに対するiCloudバックアップの令状を通じて法医学的回復が可能となっている。
セキュリティ研究者のジョナサン・ジアルスキー氏は、コミュニケーションアプリで行われたチャットを完全に消去する唯一の方法は、アプリを完全に削除することだと発見しました。ジアルスキー氏は、削除後もアプリのデータベース上のチャットへのポインタのみが削除され、OSとアプリが以前チャットが保存されていた場所を上書きするまで、実際のチャットの記録はそのまま残ることを発見しました。
削除されたチャットの取得は、さまざまな削除解除アプリが誤って削除されたファイルを見つける方法と同様に実行されます。
ブロックに書き込むデータの量に関わらず、フラッシュメディアコントローラは書き込み時にフラッシュメディアのブロック全体を処理します。たとえブロックの一部にしか書き込む必要がない場合でもです。完全に空のブロックへの書き込みは、ドライブが部分的に満たされたブロックをキャッシュにコピーする必要がなく、セルを完全に上書きする前にキャッシュ内で変更を加える必要がないため、より高速です。
その結果、現代のオペレーティングシステムは速度を優先してこれらのセクターを優先します。メディア内の、以前にデータが含まれていたセクターは、ゼロ化されたセクターが利用可能になった後に書き込まれるため、ユーザーが削除した後でもWhatsAppが保存されたチャットを完全に消去しないという問題がさらに深刻化します。
何が書き換えられたか、あるいは何が保持されたかに関わらず、「WhatsAppのチャットデータベースはバックアップ中にiPhoneからコピーされるため、iCloudバックアップとデスクトップバックアップの両方に表示されます」とZdiziarsky氏は述べている。ただし、iCloudバックアップはiTunesの設定を尊重せず、暗号化もされない。
この脆弱性を悪用するのは容易ではないものの、Zdziarski氏は、携帯電話に物理的にアクセスできる人なら誰でも、アクセスを許可されればバックアップを作成できると指摘しています。さらに、バックアップを保存したコンピューターに物理的にアクセスできる人なら誰でも、キーチェーンからパスワードを復元することでバックアップをコピーできる可能性があります。
法執行機関は、Appleに対して暗号化されていないデータベースを入手するための令状を発行し、既存のフォレンジックツールに入力して、メディア内に残っている削除済みメッセージを入手する可能性があります。さらに、一部の地域では、ユーザーはmacOSでユーザー認証情報を提出してキーチェーンのパスワードにアクセスし、iTunesのバックアップにアクセスするよう法的に強制される可能性があります。
Zdziarski 氏は、ユーザーが定期的にデバイスからアプリケーションを削除して再インストールすることを推奨しています。これにより、データベースとそのすべてのコンテンツが完全に消去され、「削除されたレコードを消去して最初からやり直す唯一の方法のようです」。
セキュリティ研究者はまた、WhatsApp 開発者らが Apple の暗号化された CoreData ルーチンに移行することを提案している。
ジジアルスキー氏はiPhoneの発売以来、iOSのセキュリティを深く研究してきました。2016年3月には、FBIがサンバーナーディーノ銃乱射事件の犯人のiPhone 5cからデータを取得する方法について論じました。さらに、システムのカーネルキャッシュが暗号化されていないことが発覚した後、iOS 10のベータ2で大量のサービスが暗号化されていないことを最初に発見した人物でもあります。
