Mobil cihazlarda en yaygın şekilde kullanılan Whatsapp mesajlaşma uygulamasının sunduğu birçok özelliklerinden biri de yedeklemedir. Örneğin telefon değişimlerinde uygulamanın yedeği ile yeni telefona hiçbir değişiklik olmadan tüm içerik aktarılabilmektedir.
Kullanıcı tarafından oluşturulan bu yedeklemelerin adli bilişim açısından da önemi büyüktür. Adli makamlar tarafından soruşturmalarda şüpheli tarafından yapılan görüşmeler ve içerik bilgilerinde suç unsurlarının tespit edilebilmesi için bu yedeklemeler delil olarak kabul edilmektedir.
WhatsaApp Messenger tarafından oluşturulan yedeklemeler, Crypt12 isimli şifreli bir dosyada bulunmaktadır. Bu dosya, uygulama aracılığıyla gönderilen ve alınan mesajların 256-bit AES formatında şifrelenmiş bir veritabanı içermektedir. WhatsApp üzerindeki mesajlar yedeklenmesi durumunda şifreli olarak bulutta veya telefonun hafızasında saklanmaktadır.
WhatsApp Crypt12 dosyasının açabilmesi için ‘’key’’ dosyasına yani anahtar dosyasına ihtiyaç vardır. Bu anahtar /data/data/com.whatsapp/files/key dizininde saklanır.
Bu dosyaya yönetici (Root) yetkili kullanıcı tarafından ulaşılabilmektedir. Bu yedekleme dosyasının telefon üzerinden veya bulut üzerinden erişilmesi için çeşitli yöntemler bulunmaktadır.
Adli bilişim kuralları çerçevesinde Whatsapp uygulama yedeği içeriklerine erişim Oxygen Forensic Detective mobil inceleme yazılımı ile yapılacaktır.
Mobil cihaz inceleme uçak moduna getirilmelidir. Whatsapp bulutundan veri alınması esnasında, telefon doğrulama kodunun girilmesinden önceki whatsapp kurulumu devre dışı bırakılmaktadır.
WhatsApp'ın kullanıldığı son tarihe dikkat edilmelidir. WhatsApp hesabı çevrimiçi olduktan sonraki 45 gün sonra ayıklama girişiminde bulunulursa, tüm hesap verileri otomatik olarak sunuculardan silinmekte ve hesap katıldığı tüm grup sohbetlerinden kaldırılmaktadır.
Mümkünse iki adımlı doğrulama devre dışı bırakılmalıdır.
WhatsApp bulut, uçtan uca şifreleme ile mesajların şifresini çözmek için orijinal gönderen kullanıcının cihazlarına güvenir. Bu nedenle, bazı iletilerin şifresinin çözülmesi saatler veya günler sürebilmektedir.
Cihaz üzerinde veya bulutta yedekleme olup olmadığı kontrol edilmelidir. Eğer mevcutta yedek yoksa, silinmiş alanlarda veri kurtarma yaparak ve Google ve iCloud yedeklerinde aramaya devam edilmelidir.
WhatsApp'tan veri almanın ilk yolu cihazın Oxygen Forensic Detective ile adli kopyasının alınmasıdır. WhatsApp'a sahip cihazın kilidi açılabilirse, iki adımlı doğrulamanın durumu kontrol edilmeli, ayarlara bakılmalı ve etkinleştirilmişse devre dışı bırakılmalıdır.
WhatsApp'a sahip cihazın kilidi açılabilirse, mesajların sağlam olup olmadığı kontrol edilmelidir. Veriler kullanıcı tarafından silinmediyse, hesabın manuel olarak yeni bir bulut yedeklemesi yapılmalıdır. Cihazı uçak moduna geçirip, geçerli tarih ve saati kaydedilmelidir.
Mobil cihaz elimizde ise adli kopya alınarak, adli kopya üzerinden WhatsApp verilerine ulaşılabilir. Adli kopya Oxygen Forensic Detective yazılımı ile açıldığında Whatsapp kişileri, sohbetleri, grup sohbetleri ve yedekleri görülebilmektedir.
Whatsapp bulutta bulunan ek verilere ulaşabilmek için Oxygen Forensic Cloud Extractor kullanılmalıdır. Cloud Extractor açıldıktan sonra yedekler içerisinde mesajları içeren şifreli veritabanı olan msgmessagestore.db seçilmelidir. Telefon numarası girilerek gelecek SMS bilgileri ile (Bu yöntemden önce cihazın adli kopyasının alınmış olması önemlidir. Çünkü cihazdaki Whatsapp hesabından çıkış yapılacaktır. İşlemden sonra cihaz tekrar uçak moduna alınmalıdır.) veya Whatsapp Cloud Token giriş anahtarı mevcut ise giriş yapılarak buluttaki veriler incelemeye alınabilmektedir. Whatsapp yedeklerine bu şekilde ulaşıldıktan sonra aynı yöntem kullanılarak Google Drive yedeklerine de ulaşılabilmektedir.
