Imagine receiving a normal WhatsApp message from someone… and later discovering that the message secretly contained their exact location, even though they never shared it. That’s exactly what happened during a recent forensic extraction I performed on my iPhone 12 Pro Max. During the analysis, I found a I decided to pick a message I received from @RedHatPentester, on 3rd September 2025 at 7:11 AM. Nothing unusual at first glance just a regular text. But deep inside the message metadata, the phone had silently logged: @RedHatPentester exact location at the moment he sent that message. He didn’t share it intentionally. I didn’t request it. Yet the device recorded it automatically. This was extracted directly from my own phone, meaning: If your location is turned ON while chatting on WhatsApp, your exact location can be extracted from someone else’s device if theirs undergoes forensic imaging. Most people have absolutely no idea this happens. But this was only the beginning. Also, every single file created on the device, ie: photos, videos, screenshots, recordings had the exact location of where I was when that file was created. The phone automatically logged precise GPS coordinates for each media file. This means investigators can determine where you were at the exact moment you took a picture, recorded a video, captured a screenshot, or created any media on the device. This level of metadata helps reconstruct movements, timelines, and behaviors with incredible accuracy. The extraction revealed far more than hidden location data and remember, this phone was NOT jailbroken. Here’s what else was recovered: 1. Full Synchronized Accounts & Passwords The extraction pulled: •URLs •Usernames •Passwords •Stored login metadata Basically, every synchronized password ever used on the device all recovered without jailbreak. 2. Complete Application Logs & Histories Every installed application had: ✔ Detailed logs ✔ Usage history ✔ Internal data ✔ Metadata Even apps considered “secure” or “encrypted” still left behind recoverable traces. 3. Full WhatsApp Data, Including Group Histories WhatsApp revealed more than most users realize: •Full history of every group ever joined •Date each group was created •Who created it •Date I was added •Group metadata even after you exit the group This is critical in investigations because a suspect cannot deny belonging to a group when the device itself retains: 📌 Creation date 📌 Creator identity 📌 Join date 📌 Participation timeline Even if they left the group years ago. 4. Message-Level Location Metadata The iPhone logged exact sender locations at the moment messages were typed and sent just like what happened with @RedHatPentester message. Most people never see this. Investigators do. Why This Matters Every phone tells a story. Every app keeps footprints. Every message carries more than text. This extraction proves that even without a jailbreak, investigators can discover: ✔ Locations ✔ Passwords ✔ Group associations ✔ Message histories ✔ Detailed app activity ✔ Metadata most users never realize exists Digital devices rarely forget even when the user does. Immagina di ricevere un normale messaggio WhatsApp da qualcuno... e scoprire in seguito che il messaggio conteneva segretamente la sua posizione esatta, anche se non l'ha mai condivisa. Questo è esattamente quello che è successo durante una recente estrazione dati forense che ho eseguito sul mio iPhone 12 Pro Max. Durante l'analisi, ho trovato un messaggio che ho ricevuto da @RedHatPentester il 3 settembre 2025 alle 7:11. Niente di insolito a prima vista, solo un normale messaggio di testo. Ma nei metadati del messaggio, il telefono aveva registrato silenziosamente: Posizione esatta di @RedHatPentester al momento dell'invio del messaggio. Non l'ha condivisa intenzionalmente. Non l'ho richiesto io. Eppure il dispositivo l'ha registrata automaticamente. Questo è stato estratto direttamente dal mio telefono, il che significa: Se la tua posizione è ATTIVA mentre chatti su WhatsApp, la tua posizione esatta può essere estratta dal dispositivo di qualcun altro se il suo viene sottoposto a imaging forense. La maggior parte delle persone non ha la minima idea di cosa accada. Ma questo è stato solo l'inizio. Inoltre, ogni singolo file creato sul dispositivo, ovvero foto, video, screenshot e registrazioni, riportava la posizione esatta in cui mi trovavo al momento della creazione. Il telefono ha registrato automaticamente le coordinate GPS precise per ogni file multimediale. Ciò significa che gli investigatori possono determinare dove ti trovavi nel momento esatto in cui hai scattato una foto, registrato un video, catturato uno screenshot o creato qualsiasi contenuto multimediale sul dispositivo. Questo livello di metadati aiuta a ricostruire movimenti, linee temporali e comportamenti con incredibile precisione. L'estrazione ha rivelato molto più dei dati di posizione nascosti e, ricordate, questo telefono NON era stato sottoposto a jailbreak. Ecco cos'altro è stato recuperato: 1. Account e password completamente sincronizzati L'estrazione ha estratto: •URL •Nomi utente •Password •Metadati di accesso memorizzati In pratica, tutte le password sincronizzate mai utilizzate sul dispositivo sono state recuperate senza jailbreak. 2. Registri e cronologie complete delle applicazioni Ogni applicazione installata presentava: ✔ Registri dettagliati ✔ Cronologia di utilizzo ✔ Dati interni ✔ Metadati Anche le app considerate "sicure" o "crittografate" lasciavano comunque tracce recuperabili. 3. Dati completi di WhatsApp, incluse le cronologie dei gruppi WhatsApp ha rivelato più di quanto la maggior parte degli utenti creda: • Cronologia completa di ogni gruppo a cui si è mai iscritto • Data di creazione di ciascun gruppo • Chi l'ha creato • Data di aggiunta dell'utente • Metadati del gruppo anche dopo l'uscita dal gruppo Questo è fondamentale nelle indagini perché un sospettato non può negare l'appartenenza a un gruppo quando il dispositivo stesso conserva: 📌 Data di creazione 📌 Identità del creatore 📌 Data di iscrizione 📌 Cronologia di partecipazione Anche se l'utente ha abbandonato il gruppo anni fa. 4. Metadati sulla posizione a livello di messaggio L'iPhone ha registrato la posizione esatta del mittente nel momento in cui i messaggi sono stati digitati e inviati, proprio come è successo con il messaggio @RedHatPentester. La maggior parte delle persone non se ne accorge mai. Gli investigatori sì. Perché è importante Ogni telefono racconta una storia. Ogni app conserva tracce. Ogni messaggio contiene più di un semplice testo. Questa estrazione dimostra che anche senza jailbreak, gli investigatori possono scoprire: ✔ Posizioni ✔ Password ✔ Associazioni di gruppo ✔ Cronologia dei messaggi ✔ Attività dettagliata delle app ✔ Metadati di cui la maggior parte degli utenti non si accorge nemmeno dell'esistenza I dispositivi digitali raramente dimenticano, anche quando l'utente lo fa. Source: https://x.com/elormkdaniel/status/1993320187974541683?t=pV8BM00BIOTb8YhqC_iH3Q&s=19

WhatsApp, analisi forense choc rivela cosa contengono i metadati dei messaggi WhatsApp, analisi forense choc rivela cosa contengono i metadati dei messaggi 01 Dicembre 2025 16 Commenti Ogni messaggio contiene più di un semplice testo. E ancora: se le persone dimenticano, i dispositivi digitali raramente lo fanno. La scoperta di Elorm Daniel, esperto di informatica forense con più di 20 mila follower su X, potrebbe essere sintetizzata con queste due frasi, estratte dal suo stesso post. Un post che ha fatto brevemente il giro della rete, contenendo delle apparenti "rivelazioni" sulla popolare app di messaggistica WhatsApp che non possono essere ignorate. Premessa: la maggior parte delle persone non può avere accesso al "contenuto nascosto" dei messaggi WhatsApp. L'estrazione avviene attraverso strumenti forensi avanzati (almeno nel contesto di questo esperimento), tramite cui – tra l'altro – si riesce a ricostruire un quadro dettagliato dell'attività di un utente. Rimane ferma la protezione garantita dalla crittografia end-to-end (come tutte le altre misure di sicurezza, un vero e proprio pallino per Meta), per cui nessuno può leggere niente mentre i messaggi sono in viaggio tra mittente e destinatario, ma ciò che resta memorizzato sul dispositivo o nei backup può comunque rivelare molte cose, anche al di là del contenuto visibile. COSA SI È SCOPERTO Anzitutto, l'analista afferma di aver ricevuto un messaggio WhatsApp di routine da un amico il 3 settembre scorso. Successivamente, lo smartphone è stato fatto analizzare da un team di esperti forensi, e durante il processo sono emerse le coordinate esatte da cui quel messaggio era stato inviato. Immaginate di ricevere un normale messaggio WhatsApp e poi scoprire che contiene segretamente la posizione esatta di una persona, anche se non l'ha mai condivisa. Insomma: anche se l'utente non condivide manualmente la posizione, i messaggi WhatsApp possono contenere dati GPS precisi registrati in automatico dal telefono. Ciò che preoccupa ancora di più è che si possa risalire alle coordinate del mittente dal telefono del destinatario, nel caso in cui quest'ultimo finisse nelle mani degli investigatori (o anche di qualche malintenzionato molto competente, in teoria). COSA SI È SCOPERTO Anzitutto, l'analista afferma di aver ricevuto un messaggio WhatsApp di routine da un amico il 3 settembre scorso. Successivamente, lo smartphone è stato fatto analizzare da un team di esperti forensi, e durante il processo sono emerse le coordinate esatte da cui quel messaggio era stato inviato. Immaginate di ricevere un normale messaggio WhatsApp e poi scoprire che contiene segretamente la posizione esatta di una persona, anche se non l'ha mai condivisa. Insomma: anche se l'utente non condivide manualmente la posizione, i messaggi WhatsApp possono contenere dati GPS precisi registrati in automatico dal telefono. Ciò che preoccupa ancora di più è che si possa risalire alle coordinate del mittente dal telefono del destinatario, nel caso in cui quest'ultimo finisse nelle mani degli investigatori (o anche di qualche malintenzionato molto competente, in teoria). Anche foto, video, screenshot e messaggi vocali contengono metadati con ora e luogo di creazione. E anche dei gruppi WhatsApp il dispositivo conserva una memoria precisa, anche molto tempo (anni!) dopo aver abbandonato la chat. Un sospettato non può negare l'appartenenza a un gruppo quando il dispositivo stesso conserva: data di creazione identità del creatore data di iscrizione cronologia di partecipazione LA RISPOSTA DI WHATSAPP Chiamata in causa, WhatsApp ha confermato che i metadati memorizzati sul dispositivo o nei backup possono essere accessibili se qualcuno ha fisicamente il telefono. In pratica, i messaggi restano privati durante la trasmissione (crittografia end-to-end), ma tutto ciò che il telefono registra può essere comunque "intercettato" in caso di accesso diretto al dispositivo. E in questo WA c'entra poco: il "problema" – se così possiamo definirlo – riguarda specificamente il dispositivo e il sistema operativo, non l'applicazione in sé. Source: https://www.hdblog.it/smartphone/articoli/n640440/whatsapp-analisi-choc-metadati-messaggi/