Eine beliebte Funktion in der Chat-Kommunikation per WhatsApp-Messenger sind „Sticker“. Dies sind Bild-Dateien, welche vorbereitet wurden, um auf Knopfdruck schnell bzw. wiederholt in WhatsApp-Konversationen eingefügt werden zu können, ähnlich einem Smiley oder einem Emoji. In einer forensischen Analyse ist es essenziell festzustellen, auf welche Weise Medien-Dateien abgespeichert wurden, insbesondere wenn es sich um bedenkliche oder inkriminierende Inhalte handelt. Unglücklicherweise ist derzeit zu sehen, dass auch WhatsApp-Sticker problematische Inhalte in sich tragen können. Wie sich im Verlauf der Untersuchung zeigt, werden WhatsApp-Sticker bei Empfang in jedem Fall im iOS-Dateisystem abgespeichert. Eine Prüfung der genauen Umstände ist somit unabdingbar um eine korrekte juristische Beurteilung (Handelt es sich um bewussten Besitz der Datei?) vornehmen zu können.
Hiermit möchte ich eine forensische Analyse von WhatsApp Stickern am Beispiel einer Fragestellung im Bezug auf das Betriebssystem Apple iOS auszugsweise vorstellen. Die folgenden Erkenntnisse beziehen sich auf die WhatsApp-Version 2.21.131.1 und die iOS Version 14.7.
Fallbeispiel und Fragestellung
Beispiel: Auf einem untersuchten Apple iPhone wurden WhatsApp Sticker gefunden, die inkriminierende Inhalte zeigen. Wie sind diese Funde technisch zu beurteilen?
Frage: Was passiert im Dateisystem und der WhatsApp-Datenbank, wenn in iOS WhatsApp-Sticker empfangen werden.
Forensische Analyse
Zur Vorbereitung der Untersuchung wurden an ein Apple iPhone SE per WhatsApp drei verschiedene Sticker verschickt.
Schließlich wurden folgende vier Fälle geprüft:
1. Ein Sticker wurde bei geöffnetem Chat empfangen und direkt in Echtzeit gesehen.
(Die Uhrzeit stimmt mit der Empfangszeit nicht überein, weil die Screenshots erst zu einem späteren Zeitpunkt aufgenommen wurden.)
Die Bild-Datei befindet sich am Speicherort:
/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/Message/
Media/43660XXXXXXX@s.whatsapp.net/6/f/6f3a3c78-2e05-450e-9334-ce1ffXXXXXXX.webp
Erkenntnis: Der Sticker wird regulär im iOS-Dateisystem unmittelbar bei Empfang gespeichert. In diesem Fall ist nachvollziehbar, dass nur ein reines Betrachten der Datei erfolgte. Ein willentliches, aktives abspeichern der Datei im Datenträger durch den Benutzer selbst erfolgte nicht.
2. Der Sticker wurde bei geöffnetem Chat empfangen, direkt gesehen und aktiv durch den Benutzer - zur möglichen weiteren Verwendung - als Favorit gespeichert.
Die Bild-Datei befindet sich am Speicherort:
/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/stickers/
no-sticker-pack/32ecb847-c3e8-4873-8717-7a5daXXXXXXX.webp
Erkenntnis: Der Sticker wird regulär im iOS-Dateisystem unmittelbar bei Empfang gespeichert. Markant ist nun, dass der Sticker, wenn er manuell als Favorit hinzugefügt wurde, nun im Verzeichnis stickers abgespeichert ist. In diesem Fall kann davon ausgegangen werden, dass ein bewusstes abspeichern zur späteren weiteren Verwendung der Datei vorliegt.
3. Der Sticker wurde bei geschlossenem Chat empfangen und nicht gesehen.
Die Bild-Datei befindet sich am Speicherort:
/mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/Message/
Media/43660XXXXXXX@s.whatsapp.net/8/3/83a8f2c1-acae-40e9-9805-d5ef5XXXXXXX.webp
Erkenntnis: Der Sticker wird regulär im iOS-Dateisystem unmittelbar bei Empfang gespeichert. Bei genauer Analyse der empfangenen Nachricht per Cellebrite Physical Analyzer ist zu sehen, dass die Nachricht als "unread" markiert ist. Diese Information stammt aus der WhatsApp-Datenbank ChatStorage.sqlite bzw. aus der Tabelle ZWAMESSAGE. Die betreffende Nachricht hat dort in der Spalte ZMESSAGESTATUS den Wert 6, welcher ein Hinweis auf eine nicht gelesene Nachricht ist. (Die Erfahrungswerte diesbezüglich sind: 1 = Nachricht gesendet, aber von der anderen Partei nicht empfangen - 6 = Nachricht gesendet und von der anderen Partei empfangen, aber nicht gelesen - 8 = Nachricht gesendet, empfangen und gelesen). Demnach ist abzuleiten, dass sich die Datei zwar am Dateisystem befindet, eine Abstreitbarkeit das Bild jemals gesehen zu haben aber durchaus nachvollziehbar ist. Ein wissentliches Abspeichern ist damit ausgeschlossen.
4. Der Sticker wird nach Erhalt durch den Benutzer gelöscht.
Die Bild-Datei befindet sich nicht mehr am Dateisystem.
Erkenntnis: In einer WhatsApp Konversation erhaltene und durch den Benutzer gelöschte Sticker sind auf dem Dateisystem nicht mehr auffindbar. In diesem Fall war eine Wiederherstellung durch die Methoden der forensischen Datenrekonstruktion nicht möglich.
Zusammenfassung
Werden auf einem iPhone Dateien gefunden, die in einer WhatsApp-Konversation als Sticker empfangen wurden und inkriminierende Inhalte zeigen, ist es möglich nachzuweisen ob die Speicherung am Datenträger willentlich oder ohne Zutun des Benutzers erfolgte. Prinzipiell werden alle empfangenen WhatsApp-Sticker immer im Dateisystem abgespeichert, auch wenn die Dateien niemals betrachtet worden sind. Anhand des Speicherortes der Datei im iOS-Dateisystem kann nachgewiesen werden, ob ein Sticker durch den Beschuldigten aktiv zur weiteren Verwendung hinzugefügt wurde, indem er diesen als „Favoriten“ markierte und damit ein aktives Speichern billigte. Am Status-Wert der Nachricht in der WhatsApp Datenbank, die den Sticker beinhaltete, kann außerdem nachvollzogen werden ob die Nachricht (und damit z.B. eine betreffende Sticker-Datei) überhaupt durch den Benutzer betrachtet wurde. Schließlich sind empfangene und durch den Benutzer gelöschte Sticker-Dateien im Dateisystem nicht mehr auffindbar. Wie solche Dateien also genau abgelegt worden sind könnte somit in der rechtlichen Beurteilung ob des Besitzes bzw. das Vorhandensein einer Datei von tiefgehender Bedeutung sein.
Der vorliegende Artikel versteht sich als unverbindlich und hat rein informativen Charakter. Er kann eine Begutachtung, die auf eine bestimmte und explizite Situation bezogen ist, niemals ersetzen.