iOS研究人員Jonathan Zdziarski針對WhatsApp研究後發現,即使用戶刪除對話紀錄,在WhatsApp資料庫內還是看得到。
為了進行測試,Zdziarski安裝WhatsApp後製造了不同的對話串,然後將某些對話串加以歸檔、有些則加以刪除。最後執行WhatsApp的「清除所有對話」功能後,再將App的資料庫做了第二次備份。結果發現不論有沒有做過歸檔或刪除,對資料保留的結果沒有任何影響,在所有情況下,理應被刪除的紀錄都原封不動地保留在SQLite資料庫中。
研究人員強調,這不是說WhatsApp故意保留這些資料不刪除,而是這些資料並未從資料庫完全清除或消掉,使得資料跡證可以被回復到原始樣子。事實上,除了WhatsApp外,其實蘋果iMessage也有同樣問題。
Zdziarski解釋,鑑識跡證(forensic trace)在許多使用SQLite資料庫的應用程式來說很常見,因為iOS版SQLite的設計預設就不會完全清空資料庫。
研究人員補充,如果這些對話保留在安全的裝置上倒也沒關係,問題在於隨著iPhone用戶備份其資料到iCloud上,則這個資料庫將可能出現在iCloud及桌機電腦上。如果駭客拿到用戶iPhone,可能複製一份資料庫於別處,並透過iCloud 備份機制隨時存取WhastApp對話,因為iCloud並不支援加密備份(encryption backup )。如果駭客取得桌機的WhatsApp,雖然桌機iTunes支援加密備份,但也可能被暴力破解密碼取得對話資料。
Zdziarski指出,雖然這種情境平常不太會發生,用戶不必太驚慌,但如果取得手機或桌機的人是具有搜索力的政府單位或警方,用戶的通訊紀錄就能被看光光。
研究人員因此建議WhatsApp用戶使用iTunes時應設定複雜且夠長的密碼,或使用Configurator等工具進行裝置的配對鎖定(pair locking),防止他人以配對或鑑識工具取得對話紀錄。此外,他建議關閉iCloud備份,因為iCloud是以明碼儲存用戶資料庫,以及定期刪除並重灌通訊App,以便能完全清空資料庫。