WhatsApp Nachrichten in Klartext in der iCloud

Warnhinweis:
Diese Informationen dienen ausschließlich, und ausschließlich nur für Lehr- und Bildungszwecke. Ich dulde keinerlei illegale Aktivitäten und übernehmen auch zu keiner Zeit irgendeine Verantwortung für Handlungen jeglicher Art, welche durch diese Informationen durchgeführt wurden!

Anwender, die sich nicht mit dem Thema IT-Sicherheit befassen, lassen absolut die Finger von Ettercap, Wireshark und/oder ähnlichen Tools, da diese nach Inkrafttreten des sogenannten Hackerparagrafen (§ 202c StGB) in Deutschland als Computerprogramm zum Ausspähen von Daten aufgefasst werden und somit allein schon der Besitz in Deutschland unter Strafe steht, wenn keine Berechtigung vorliegt.

Warning:
All the information displayed on my site are for learning or educational purposes only! I do not condone any illegal activity and take no responsibility at all for actions performed by anyone!

Die Übernehmen eines WhatsApp Account gestaltet sich sehr einfach und man benötigt weder fundiertes Wissen über Netzwerktechnik noch tiefreichendes Wissen über Netzwerkanalysetools. Es reicht völlig aus, zu wissen wonach man schauen muss. Und das ist bei der WhatsApp offensichtlich, man benötigt nur die Rufnummer des Opfers und seine zugehörige MAC-Adresse bei iOS Endgeräten. Dies gestaltet sich extrem einfach, wenn ich gezielt den Account eines Nutzers Übernehmen möchte und dessen Mobilnummer ich im Vorfeld schon kenne.

[xyz-ihs snippet=“ad“]

Wer sich selbst ein Bild von den Daten machen will, welche in der iCloud gespeichert werden, kann dies ganz einfach über einen Mac machen, welcher mit der iCloud verbunden ist. Hierzu geben sie einfach folgenden Pfad in den Finder ein (cmd+shift+G):

~/Library/Mobile Documents/ 

nun können Sie alle Ordner (lokal gespiegelt) in Ihrer iCloud sehen.
Suchen Sie doch hier mal nach WhatsApp und Sie werden sehen, dass WhatsApp alle Verläufe und und Bilder umverschlüsselt in der iCloud ablegt.

Hier ein paar Impressionen eines Tests:

Nach dem man in den Ordner  ~/Library/Mobile Documents/ gewechselt hat, findet man gleich an aller erster Stelle den Ordern in dem WhatsApp seine Sicherungskopie der Verläufe und Daten ablegt.

~/Library/Mobile Documents/
iCloud

[xyz-ihs snippet=“ad“]

Geht man jetzt weiter durch die Ordner  über den Account Oderner bis in den Backupfolder, so trifft man dann auf folgende Dateien:

Backup Ordner

hier befinden sich dann einmal ein tar-Archiv mit allen empfangenen Median (Bilder, Videos usw.) so wie eine SQLite Datei, welche den gesamten Chatverlauf beinhaltet. Hierfür wird ein SQLite Browser benötigt mit dem dann alle Nachrichten in Klartext angezeigt werden können. Das Sieht dann wie folgt aus:

[xyz-ihs snippet=“ad“]

Chatverlauf in Klartext

Nun haben Sie gesehen, wie leicht es ist an einen Chatverlauf von WhatsApp zu kommen, wenn man die Zugangsdaten / AppleID hat.

Und das Schlimmste, der eigentliche User bekommt nichts mit. Hier der e-Mail Account des eigentlichen Users des Gerätes / Apple ID:

Bildschirmfoto

Keine Benachrichtigung, dass jemand den Account mit einem anderen Device benutzt. Nichts garnichts. Der eigentliche User hat also keine Chance. Hier ist ganz schön Nachbesserung von Seiten WhatsApp und Apple geboten.

[xyz-ihs snippet=“ad“]
© 2014 Raffael Haberland
security.haberland.it, info@haberland.it

63 Kommentare

  1. Hallo Herr Haberland,

    ein sehr guter Beitrag jedoch würde es mich auch interessieren ob dies bei Windows auch möglich ist? Ich hab danach gesucht und finde nichts.. haben Sie da schon mehr rausfinden können?

    LG

  2. Hallo Herr Haberland,

    danke für diesen interessanten Beitrag.
    Ich habe das gleiche Problem wie andere User – Sprich windows.
    Da gibt es wenn man in Cloud eingeloggt keinen finder oder ähnliches.
    Sie schrieben -„mit xampp“ versuchen.
    Können Sie dazu vielleicht noch eine kleine Hifestellung geben oder Anleitung
    wie dies funktionieren soll!?

    Vielen Dank im Voraus

    • Für die iCloud brauchen Sie kein XMPP, sondern nur den WindowsClient der von Apple bereitgestellt wird.
      Danach loggen Sie sich dort mit Ihren Daten ein und können Ihren WhatsApp Verlauf in einem versteckten Unterorder finden und sichern.
      Zum anschauen des Verlaufes benötigen Sie einen SQL Viwer.

  3. Danke für die zeitnahe Antwort Herr Haberland,

    um die SQL-Datei zu sehen ist verständlich mit SQL-Viewer.
    Aber an die Datei zu kommen ist das Problem.
    Habe den Windows-Client für Cloud.
    Das Problem ist nur an die Datei zu kommen.
    Es wird nur angeboten mehr Speicher zu kaufen oder Dokumente löschen…
    kann hier leider keine Grafik anhängen um dies zu verdeutlichen!
    Und wir armen Windows-Leute haben dort keinen finder oder Suchfunktion um den Chatstorage zu suchen oder zu laden.

    Früher ging dies mal über Entwickler-Account – Aber dies hat Apple auch eingestellt.

    Haben Sie dazu noch eine Idee oder Lösungshilfe (weil gespeichert sind die Dokumente wie in Cloud ja steht auf alle Fälle – weil Größe Whattsapp als auch Backup wird angezeigt in den 5 GB kostenlos).

    Schon mal Danke und beste Grüße!!!

  4. Hallo Herr Haberland,

    ich habe einen Mac, aber hier sehe ich kein Whats app Ordner, wenn ich in die Cloud gehe sehe ich das er 103 MB abgespeichert hat von WhatsApp , kann aber über den Finder diesen Ordner nicht finden ?
    Woran kann das liegen ? Auch versteckte Dateien habe ich sichtbar gemacht

      • Hallo Herr Haberland,

        ich sehe diese Ordner nicht,
        habe mit dem befehl : defaults write com.apple.finder AppleShowAllFiles 1
        alle files sichtbar gemacht, aber der Ordner bleibt leer !

        Woran kann das liegen ?

        Gruss
        Jörg

        • Sie haben recht, der Ordner ist nicht mehr vorhanden. Anscheinend hat Apple bzw. WhatsApp hier auf meinen Hinweis hin diese Lücke geschlossen.
          Ich vermute, dass WhatsApp nun auf Ihren eigenen Servern den Verlauf sichert. Dies muss aber dann recht neu geändert worden sein, denn noch vor zwei Monaten, war hier ein WhatsApp Ordner zu finden.

          • Kann diese Datei finden, allerdings ist diese nicht aktuell, in der Übersicht sagt er mir das er für WhatsApp 18, 1 Mb gesichert hat in der cloud, die Sqlite datei ist aber gerade mal 311 Kb groß , wie kann das sein ?

          • Das würde ja sinn machen, aber das Datum von der Datei auf dem Rechner ist nicht aktuell, es kann also nicht nur daran liegen, ich denke das der Rechner nicht mit der iCloud richtig Syncronisiert. Wobei bei Speicher verwalten es hinkommt mit den Größen, aber nicht mit den Dateien ChatStorage auf dem Rechner.

  5. Hallo Herr Haberland,
    ich tausche mich häufig und regelmäßig mit Freunden und bekannten über Whatsapp aus (inkl. Bildern, kurzen Videos und diversen Smileys).
    Offenbar kann der Ehegatte einer Bekannten einzelne Nachrichten von mir an seine Gemahlin lesen (aber nicht alle und auch keine, die sie verschickt hat).
    Möglicherweise benutzt er eine Software oder kann über das heimische WLAN Nachrichten abfangen oder er hat vielleicht ein Backup des Gerätes über iTunes auslesen können?
    Im Grunde ist das kein Problem (zumindest für mich), da wir beide uns nur über Musik austauschen.
    Das sieht meine Gesprächspartnerin allerdings ganz anders und würde ihr iPhone 6 gerne gegen derartige Spionageattacken sichern.
    Was können Sie vorschlagen, wie man das Gerät sicherer machen kann?
    (Klar – nicht das heimische WLAN verwenden ist eine erste Idee).
    Was kann sie sonst noch tun?
    Ich wäre für eine Unterstützung dankbar, da ich ihr hierbei gern weiterhelfen möchte.
    Vielen Dank
    G. Drabera

  6. Hallo zusammen, funktioniert das immer noch für Windows? Auch ohne irgendwelche Benachrichtigung an den Accountinhaber? Ich dachte etwas gelesen zu haben das Apple eine eMail schickt immer wenn man sich über einen Browser o.ä einloggt.
    Grüße
    Bella

  7. Hallo

    ich habe bei Windows alle Orner anzeigen lassen und auch von Hand ein Whats App Backup auf dem Iphone angeschubst. Im Windows Prdner ICloud Drive sehe ich aber nur die Ordner Pages Keynote und Numbers.

    Mache ish etwas falsch oder funktioniert es nicht mehr?

  8. Hallo Herr Haberland

    Wir haben einen Windows Rechner und machen alle unsere I-Phone Backups darauf im I-Tunes. Auf allen I-phones haben wir das I-Cloud Backup aktiviert. Heisst dies, dass mann von jedem beliebigen Computer aus übers Internet auf der I-Cloud Webseite mit der Apple-ID und dem dazugehörigen Passwort von dort aus alle Whatsapp Nachrichten mitlesen kann? Danke für Ihre Antwort.

  9. Hallo
    Ich habe es nun auch mit Mac OS getestet und bin zu dem selben Ergebniss wie unter Windows gekommen. Ich habe über die Condoleezza alle Dateien sichtbar gemacht aber ich sehe nur die Ordner Pages Numbers und Keynote.

    Hat es denn überhaupt bei jemand schon mal funktioniert?

  10. Sehr geehrter Herr Haberland,

    ich bin gerade auf Ihren Artikel gestoßen und habe eine Frage dazu.

    Ich habe mir ein IPhone gekauft, jetzt möchte ich meinen kompletten WhatsAppverlauf von meinem alten Androide Handy auf meinem IPhone haben. Ich bin bisher nur auf ein Programm im Netz gestoßen, welches dies ermöglichen soll, aber leider stürzt dieses immer wieder ab und ist für mich unbrauchbar.

    Nun meine Frage, gibt es eine Möglichkeit die Backup Datei von meinem Androide Handy umzuschreiben bzw. die entsprechenden Dateien in das tar-Archiv Format so wie das Backup in eine SQLite Datei umzuschreiben?
    Damit ich mir diese in die Icloude hochladen kann um dann per WhatsApp meine Verläufe wieder herzustellen?

    Ich würde mich über eine Nachri9cht von Ihnen per eMail freuen.

    MfG

    • Möglich ist das sicherlich, da die SQLite Daten sicherlich identisch sind, aber ist es den Aufwand wirklich wert?
      Haben Sie keine Angst vor Fremdprogrammen? Reicht es nicht, wenn Sie sich den Verlauf als txt Datei abspeichern und dann gegebenenfalls mit der Suchfunktion durchsuchen?

  11. Ich möchte in meiner iCloud mein whatsapp öffnen – wie kann ich d versteckten Ordner finden – bitte genaue Anweisung bin Laie

  12. Wie mache ich in meiner iCloud (habe keinen Mac)die versteckten Ordner v.a. Whatsapp sichtbar – hab keinen Plan – bitte genauere Anleitung – danke

  13. können sie mal ganz azsführlich erklären wenn man bei Windows icloud öffnet wie man vorgeht weil das einzige was man hier anklicken kann ist accontsdetails und icloud .com mehr nicht. und wie man die ordner sichtbar macht

  14. Sehr geehrter Herr Haberland,

    Ich habe Ihr Tutorial gelesen und würde dies gerne in der Praxis nutzen. Ich habe einen Windows PC und habe auch ein WhatsApp Backup in meiner Cloud. Nun würde ich gerne meine Chats exportieren und am PC lesen können. Login-Daten für die iCloud sind vorhanden und es ist auch kein Problem falls eine E-Mail-Benachrichtigung kommen sollte, da es ja sowieso mein Account ist.
    Das Problem ist, dass ich weder den von Ihnen genannten Dateipfad, noch die oben genannte .sqlite Datei finden kann. iCloudDrive habe ich auch bereits installiert und mich von Ordner zu Ordner durchgeklickt bzw. die Datei auch mit der Suche gesucht. Leider führte das nicht zum Erfolg und ich benötige Ihre Hilfe um die Datei zu finden.

    Mit freundlichen Grüßen,
    sr50

  15. Hallo zusammen , verstehe grad nur bahnhof wo genau muss ich die mac adresse eingeben . brauche ich irgendein programm oder so ? ich hab mich bei icloud.com angemeldet das ist es nicht oder ?

  16. Hallo,

    ich hatte auf einem Notebook bisher die das iCloud-Drive deaktiviert. der Ordner ~/Library/Mobile Documents/ war mit Gehe zu auffindbar, hat aber nur leere Ordner enthalten. Dann habe ich iCloud-Drive aktiviert. Der Ordner hat sich synchronisiert und auch Inhalte der Applikationen, die Daten in der iCloud speichern abgebildet. Dann habe ich iCloud-Drive auf dem Notebook deaktiviert. Im Dialog wurde dann gefragt, ob die lokalen Dateien gelöscht werden sollen -> Bestätigt.
    Danach wurde iCloud Drive wieder aktiviert, und seitdem werden die Inhalte von Mobile Documents im Finder nicht mehr angezeigt.

    Nach meinem Verständnis sind zunächst folgende Voraussetzungen notwendig, um Daten, die in der iCloud gesichert werden lesen zu können:

    Auf dem mobilen Endgerät
    1. iCloud Drive muss aktiviert sein
    2. Datensicherung für eine Applikation in der iCloud muss aktiviert sein
    Damit kommen die Daten aus einer Applikation in die iCloud

    Auf einem anderen Gerät (z.B. Notebook, Desktop-Computer), auf dem ich Daten aus der iCloud lesen möchte:
    1. iCloud Drive muss aktiviert sein
    Damit werden Daten aus der iCloud lokal auf die Festplatte gespiegelt.

    Lesen der Daten:
    Ablageort ist aktuell immer noch ~/Library/Mobile Documents/.
    Im Finder sind jedoch die Inhalte aber nicht direkt sichtbar und können auch nicht sichtbar gemacht werden (z.B. durch defaults write com.apple.finder AppleShowAllFiles TRUE; killall Finder). Der Ordner wird aber als iCloud-Ordner durch das iCloud Symbol kenntlich gemacht im Finder.

    Anders sieht es im Terminal aus:
    Hier sind die Daten weiterhin sichtbar. Der Ordner Mobile Documents besitzt erweiterte Rechte, die mit ls -la erkennbar sind durch das @ Symbol.
    Listig und Dateioperationen sind dort weiterhin möglich. Man kann z.B. Dateien kopieren an andere Orte und von dort dann wiederum mit dem Finder arbeiten.

    Frage: Weiss jemand, wie man Inhalte des iCloud-Ordner im Finder wieder sichtbar machen kann?

  17. Hallo,
    habe jetzt alle Kommentare durchgelesen, aber für das Windows-Problem gibt es immer noch keine Lösung. Das Icloud für Windows sieht anders aus, als das für Mac.
    Deswegen haben die Windows-User nicht alle Funktionen wie beim Mac.
    Bei Windows kann man KEINE Ordner öffnen (nur Backup löschen mehr nicht).
    Es wurde oft gefragt ob es eine Lösung dafür gibt..
    Gibt es nun eine oder nicht ?

    Danke LG

  18. Hallo,
    Gibt es wieder eine Möglichkeit WhatsApp iCloud Backups am Mac zu lesen? (Mac OS Sierra)
    Der versteckte Ordner wird nicht angezeigt.
    Danke, Alexander

  19. WIN 10 Ordner ansehen:
    Ordner, Dieser PC, Lauferk C, Benutzer, (dein Name), Icloud Drive.

    Oben in Menü auf Ansicht gehen dann ganz recht auf Optionen
    Ordner und Suchoptionen ändern klicken
    im PopUp fenster auf Ansicht und dann ganc nach untenn scrollen

    ****Markieren Ausgeblendete Dateien, Ordner und Lauferke Anzeigen***
    unten auf OK

    So und zu wUp dieser Ordner ist trotzdem nicht sichtbar

  20. Ich kann meine sqlite – Datei neuerdings nicht mehr öffnen, denn es wird permanent ein Kennwort erfragt. Der Dateiname ist neuerdings und „enc“ ergänzt.
    Welches Kennwort muss hier eingegeben werden?

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.


*