Imagine receiving a normal WhatsApp message from someone… and later discovering that the message secretly contained their exact location, even though they never shared it.
That’s exactly what happened during a recent forensic extraction I performed on my iPhone 12 Pro Max.
During the analysis, I found a I decided to pick a message I received from @RedHatPentester, on 3rd September 2025 at 7:11 AM.
Nothing unusual at first glance just a regular text.
But deep inside the message metadata, the phone had silently logged:
@RedHatPentester exact location at the moment he sent that message.
He didn’t share it intentionally.
I didn’t request it.
Yet the device recorded it automatically.
This was extracted directly from my own phone, meaning:
If your location is turned ON while chatting on WhatsApp, your exact location can be extracted from someone else’s device if theirs undergoes forensic imaging.
Most people have absolutely no idea this happens.
But this was only the beginning.
Also, every single file created on the device, ie: photos, videos, screenshots, recordings had the exact location of where I was when that file was created.
The phone automatically logged precise GPS coordinates for each media file.
This means investigators can determine where you were at the exact moment you took a picture, recorded a video, captured a screenshot, or created any media on the device.
This level of metadata helps reconstruct movements, timelines, and behaviors with incredible accuracy.
The extraction revealed far more than hidden location data and remember, this phone was NOT jailbroken.
Here’s what else was recovered:
1. Full Synchronized Accounts & Passwords
The extraction pulled:
•URLs
•Usernames
•Passwords
•Stored login metadata
Basically, every synchronized password ever used on the device all recovered without jailbreak.
2. Complete Application Logs & Histories
Every installed application had:
✔ Detailed logs
✔ Usage history
✔ Internal data
✔ Metadata
Even apps considered “secure” or “encrypted” still left behind recoverable traces.
3. Full WhatsApp Data, Including Group Histories
WhatsApp revealed more than most users realize:
•Full history of every group ever joined
•Date each group was created
•Who created it
•Date I was added
•Group metadata even after you exit the group
This is critical in investigations because a suspect cannot deny belonging to a group when the device itself retains:
Creation date
Creator identity
Join date
Participation timeline
Even if they left the group years ago.
4. Message-Level Location Metadata
The iPhone logged exact sender locations at the moment messages were typed and sent just like what happened with @RedHatPentester message.
Most people never see this.
Investigators do.
Why This Matters
Every phone tells a story.
Every app keeps footprints.
Every message carries more than text.
This extraction proves that even without a jailbreak, investigators can discover:
✔ Locations
✔ Passwords
✔ Group associations
✔ Message histories
✔ Detailed app activity
✔ Metadata most users never realize exists
Digital devices rarely forget even when the user does.
Immagina di ricevere un normale messaggio WhatsApp da qualcuno... e scoprire in seguito che il messaggio conteneva segretamente la sua posizione esatta, anche se non l'ha mai condivisa.
Questo è esattamente quello che è successo durante una recente estrazione dati forense che ho eseguito sul mio iPhone 12 Pro Max.
Durante l'analisi, ho trovato un messaggio che ho ricevuto da @RedHatPentester il 3 settembre 2025 alle 7:11.
Niente di insolito a prima vista, solo un normale messaggio di testo.
Ma nei metadati del messaggio, il telefono aveva registrato silenziosamente:
Posizione esatta di @RedHatPentester al momento dell'invio del messaggio.
Non l'ha condivisa intenzionalmente.
Non l'ho richiesto io.
Eppure il dispositivo l'ha registrata automaticamente.
Questo è stato estratto direttamente dal mio telefono, il che significa:
Se la tua posizione è ATTIVA mentre chatti su WhatsApp, la tua posizione esatta può essere estratta dal dispositivo di qualcun altro se il suo viene sottoposto a imaging forense.
La maggior parte delle persone non ha la minima idea di cosa accada.
Ma questo è stato solo l'inizio.
Inoltre, ogni singolo file creato sul dispositivo, ovvero foto, video, screenshot e registrazioni, riportava la posizione esatta in cui mi trovavo al momento della creazione.
Il telefono ha registrato automaticamente le coordinate GPS precise per ogni file multimediale.
Ciò significa che gli investigatori possono determinare dove ti trovavi nel momento esatto in cui hai scattato una foto, registrato un video, catturato uno screenshot o creato qualsiasi contenuto multimediale sul dispositivo.
Questo livello di metadati aiuta a ricostruire movimenti, linee temporali e comportamenti con incredibile precisione.
L'estrazione ha rivelato molto più dei dati di posizione nascosti e, ricordate, questo telefono NON era stato sottoposto a jailbreak.
Ecco cos'altro è stato recuperato:
1. Account e password completamente sincronizzati
L'estrazione ha estratto:
•URL
•Nomi utente
•Password
•Metadati di accesso memorizzati
In pratica, tutte le password sincronizzate mai utilizzate sul dispositivo sono state recuperate senza jailbreak.
2. Registri e cronologie complete delle applicazioni
Ogni applicazione installata presentava:
✔ Registri dettagliati
✔ Cronologia di utilizzo
✔ Dati interni
✔ Metadati
Anche le app considerate "sicure" o "crittografate" lasciavano comunque tracce recuperabili.
3. Dati completi di WhatsApp, incluse le cronologie dei gruppi
WhatsApp ha rivelato più di quanto la maggior parte degli utenti creda:
• Cronologia completa di ogni gruppo a cui si è mai iscritto
• Data di creazione di ciascun gruppo
• Chi l'ha creato
• Data di aggiunta dell'utente
• Metadati del gruppo anche dopo l'uscita dal gruppo
Questo è fondamentale nelle indagini perché un sospettato non può negare l'appartenenza a un gruppo quando il dispositivo stesso conserva:
Data di creazione
Identità del creatore
Data di iscrizione
Cronologia di partecipazione
Anche se l'utente ha abbandonato il gruppo anni fa.
4. Metadati sulla posizione a livello di messaggio
L'iPhone ha registrato la posizione esatta del mittente nel momento in cui i messaggi sono stati digitati e inviati, proprio come è successo con il messaggio @RedHatPentester.
La maggior parte delle persone non se ne accorge mai.
Gli investigatori sì.
Perché è importante
Ogni telefono racconta una storia.
Ogni app conserva tracce.
Ogni messaggio contiene più di un semplice testo.
Questa estrazione dimostra che anche senza jailbreak, gli investigatori possono scoprire:
✔ Posizioni
✔ Password
✔ Associazioni di gruppo
✔ Cronologia dei messaggi
✔ Attività dettagliata delle app
✔ Metadati di cui la maggior parte degli utenti non si accorge nemmeno dell'esistenza
I dispositivi digitali raramente dimenticano, anche quando l'utente lo fa.
Source: https://x.com/elormkdaniel/status/1993320187974541683?t=pV8BM00BIOTb8YhqC_iH3Q&s=19
That’s exactly what happened during a recent forensic extraction I performed on my iPhone 12 Pro Max.
During the analysis, I found a I decided to pick a message I received from @RedHatPentester, on 3rd September 2025 at 7:11 AM.
Nothing unusual at first glance just a regular text.
But deep inside the message metadata, the phone had silently logged:
@RedHatPentester exact location at the moment he sent that message.
He didn’t share it intentionally.
I didn’t request it.
Yet the device recorded it automatically.
This was extracted directly from my own phone, meaning:
If your location is turned ON while chatting on WhatsApp, your exact location can be extracted from someone else’s device if theirs undergoes forensic imaging.
Most people have absolutely no idea this happens.
But this was only the beginning.
Also, every single file created on the device, ie: photos, videos, screenshots, recordings had the exact location of where I was when that file was created.
The phone automatically logged precise GPS coordinates for each media file.
This means investigators can determine where you were at the exact moment you took a picture, recorded a video, captured a screenshot, or created any media on the device.
This level of metadata helps reconstruct movements, timelines, and behaviors with incredible accuracy.
The extraction revealed far more than hidden location data and remember, this phone was NOT jailbroken.
Here’s what else was recovered:
1. Full Synchronized Accounts & Passwords
The extraction pulled:
•URLs
•Usernames
•Passwords
•Stored login metadata
Basically, every synchronized password ever used on the device all recovered without jailbreak.
2. Complete Application Logs & Histories
Every installed application had:
✔ Detailed logs
✔ Usage history
✔ Internal data
✔ Metadata
Even apps considered “secure” or “encrypted” still left behind recoverable traces.
3. Full WhatsApp Data, Including Group Histories
WhatsApp revealed more than most users realize:
•Full history of every group ever joined
•Date each group was created
•Who created it
•Date I was added
•Group metadata even after you exit the group
This is critical in investigations because a suspect cannot deny belonging to a group when the device itself retains:
Creation date
Creator identity
Join date
Participation timeline
Even if they left the group years ago.
4. Message-Level Location Metadata
The iPhone logged exact sender locations at the moment messages were typed and sent just like what happened with @RedHatPentester message.
Most people never see this.
Investigators do.
Why This Matters
Every phone tells a story.
Every app keeps footprints.
Every message carries more than text.
This extraction proves that even without a jailbreak, investigators can discover:
✔ Locations
✔ Passwords
✔ Group associations
✔ Message histories
✔ Detailed app activity
✔ Metadata most users never realize exists
Digital devices rarely forget even when the user does.
Immagina di ricevere un normale messaggio WhatsApp da qualcuno... e scoprire in seguito che il messaggio conteneva segretamente la sua posizione esatta, anche se non l'ha mai condivisa.
Questo è esattamente quello che è successo durante una recente estrazione dati forense che ho eseguito sul mio iPhone 12 Pro Max.
Durante l'analisi, ho trovato un messaggio che ho ricevuto da @RedHatPentester il 3 settembre 2025 alle 7:11.
Niente di insolito a prima vista, solo un normale messaggio di testo.
Ma nei metadati del messaggio, il telefono aveva registrato silenziosamente:
Posizione esatta di @RedHatPentester al momento dell'invio del messaggio.
Non l'ha condivisa intenzionalmente.
Non l'ho richiesto io.
Eppure il dispositivo l'ha registrata automaticamente.
Questo è stato estratto direttamente dal mio telefono, il che significa:
Se la tua posizione è ATTIVA mentre chatti su WhatsApp, la tua posizione esatta può essere estratta dal dispositivo di qualcun altro se il suo viene sottoposto a imaging forense.
La maggior parte delle persone non ha la minima idea di cosa accada.
Ma questo è stato solo l'inizio.
Inoltre, ogni singolo file creato sul dispositivo, ovvero foto, video, screenshot e registrazioni, riportava la posizione esatta in cui mi trovavo al momento della creazione.
Il telefono ha registrato automaticamente le coordinate GPS precise per ogni file multimediale.
Ciò significa che gli investigatori possono determinare dove ti trovavi nel momento esatto in cui hai scattato una foto, registrato un video, catturato uno screenshot o creato qualsiasi contenuto multimediale sul dispositivo.
Questo livello di metadati aiuta a ricostruire movimenti, linee temporali e comportamenti con incredibile precisione.
L'estrazione ha rivelato molto più dei dati di posizione nascosti e, ricordate, questo telefono NON era stato sottoposto a jailbreak.
Ecco cos'altro è stato recuperato:
1. Account e password completamente sincronizzati
L'estrazione ha estratto:
•URL
•Nomi utente
•Password
•Metadati di accesso memorizzati
In pratica, tutte le password sincronizzate mai utilizzate sul dispositivo sono state recuperate senza jailbreak.
2. Registri e cronologie complete delle applicazioni
Ogni applicazione installata presentava:
✔ Registri dettagliati
✔ Cronologia di utilizzo
✔ Dati interni
✔ Metadati
Anche le app considerate "sicure" o "crittografate" lasciavano comunque tracce recuperabili.
3. Dati completi di WhatsApp, incluse le cronologie dei gruppi
WhatsApp ha rivelato più di quanto la maggior parte degli utenti creda:
• Cronologia completa di ogni gruppo a cui si è mai iscritto
• Data di creazione di ciascun gruppo
• Chi l'ha creato
• Data di aggiunta dell'utente
• Metadati del gruppo anche dopo l'uscita dal gruppo
Questo è fondamentale nelle indagini perché un sospettato non può negare l'appartenenza a un gruppo quando il dispositivo stesso conserva:
Data di creazione
Identità del creatore
Data di iscrizione
Cronologia di partecipazione
Anche se l'utente ha abbandonato il gruppo anni fa.
4. Metadati sulla posizione a livello di messaggio
L'iPhone ha registrato la posizione esatta del mittente nel momento in cui i messaggi sono stati digitati e inviati, proprio come è successo con il messaggio @RedHatPentester.
La maggior parte delle persone non se ne accorge mai.
Gli investigatori sì.
Perché è importante
Ogni telefono racconta una storia.
Ogni app conserva tracce.
Ogni messaggio contiene più di un semplice testo.
Questa estrazione dimostra che anche senza jailbreak, gli investigatori possono scoprire:
✔ Posizioni
✔ Password
✔ Associazioni di gruppo
✔ Cronologia dei messaggi
✔ Attività dettagliata delle app
✔ Metadati di cui la maggior parte degli utenti non si accorge nemmeno dell'esistenza
I dispositivi digitali raramente dimenticano, anche quando l'utente lo fa.
Source: https://x.com/elormkdaniel/status/1993320187974541683?t=pV8BM00BIOTb8YhqC_iH3Q&s=19
Imagine receiving a normal WhatsApp message from someone… and later discovering that the message secretly contained their exact location, even though they never shared it.
That’s exactly what happened during a recent forensic extraction I performed on my iPhone 12 Pro Max.
During the analysis, I found a I decided to pick a message I received from @RedHatPentester, on 3rd September 2025 at 7:11 AM.
Nothing unusual at first glance just a regular text.
But deep inside the message metadata, the phone had silently logged:
@RedHatPentester exact location at the moment he sent that message.
He didn’t share it intentionally.
I didn’t request it.
Yet the device recorded it automatically.
This was extracted directly from my own phone, meaning:
If your location is turned ON while chatting on WhatsApp, your exact location can be extracted from someone else’s device if theirs undergoes forensic imaging.
Most people have absolutely no idea this happens.
But this was only the beginning.
Also, every single file created on the device, ie: photos, videos, screenshots, recordings had the exact location of where I was when that file was created.
The phone automatically logged precise GPS coordinates for each media file.
This means investigators can determine where you were at the exact moment you took a picture, recorded a video, captured a screenshot, or created any media on the device.
This level of metadata helps reconstruct movements, timelines, and behaviors with incredible accuracy.
The extraction revealed far more than hidden location data and remember, this phone was NOT jailbroken.
Here’s what else was recovered:
1. Full Synchronized Accounts & Passwords
The extraction pulled:
•URLs
•Usernames
•Passwords
•Stored login metadata
Basically, every synchronized password ever used on the device all recovered without jailbreak.
2. Complete Application Logs & Histories
Every installed application had:
✔ Detailed logs
✔ Usage history
✔ Internal data
✔ Metadata
Even apps considered “secure” or “encrypted” still left behind recoverable traces.
3. Full WhatsApp Data, Including Group Histories
WhatsApp revealed more than most users realize:
•Full history of every group ever joined
•Date each group was created
•Who created it
•Date I was added
•Group metadata even after you exit the group
This is critical in investigations because a suspect cannot deny belonging to a group when the device itself retains:
📌 Creation date
📌 Creator identity
📌 Join date
📌 Participation timeline
Even if they left the group years ago.
4. Message-Level Location Metadata
The iPhone logged exact sender locations at the moment messages were typed and sent just like what happened with @RedHatPentester message.
Most people never see this.
Investigators do.
Why This Matters
Every phone tells a story.
Every app keeps footprints.
Every message carries more than text.
This extraction proves that even without a jailbreak, investigators can discover:
✔ Locations
✔ Passwords
✔ Group associations
✔ Message histories
✔ Detailed app activity
✔ Metadata most users never realize exists
Digital devices rarely forget even when the user does.
Immagina di ricevere un normale messaggio WhatsApp da qualcuno... e scoprire in seguito che il messaggio conteneva segretamente la sua posizione esatta, anche se non l'ha mai condivisa.
Questo è esattamente quello che è successo durante una recente estrazione dati forense che ho eseguito sul mio iPhone 12 Pro Max.
Durante l'analisi, ho trovato un messaggio che ho ricevuto da @RedHatPentester il 3 settembre 2025 alle 7:11.
Niente di insolito a prima vista, solo un normale messaggio di testo.
Ma nei metadati del messaggio, il telefono aveva registrato silenziosamente:
Posizione esatta di @RedHatPentester al momento dell'invio del messaggio.
Non l'ha condivisa intenzionalmente.
Non l'ho richiesto io.
Eppure il dispositivo l'ha registrata automaticamente.
Questo è stato estratto direttamente dal mio telefono, il che significa:
Se la tua posizione è ATTIVA mentre chatti su WhatsApp, la tua posizione esatta può essere estratta dal dispositivo di qualcun altro se il suo viene sottoposto a imaging forense.
La maggior parte delle persone non ha la minima idea di cosa accada.
Ma questo è stato solo l'inizio.
Inoltre, ogni singolo file creato sul dispositivo, ovvero foto, video, screenshot e registrazioni, riportava la posizione esatta in cui mi trovavo al momento della creazione.
Il telefono ha registrato automaticamente le coordinate GPS precise per ogni file multimediale.
Ciò significa che gli investigatori possono determinare dove ti trovavi nel momento esatto in cui hai scattato una foto, registrato un video, catturato uno screenshot o creato qualsiasi contenuto multimediale sul dispositivo.
Questo livello di metadati aiuta a ricostruire movimenti, linee temporali e comportamenti con incredibile precisione.
L'estrazione ha rivelato molto più dei dati di posizione nascosti e, ricordate, questo telefono NON era stato sottoposto a jailbreak.
Ecco cos'altro è stato recuperato:
1. Account e password completamente sincronizzati
L'estrazione ha estratto:
•URL
•Nomi utente
•Password
•Metadati di accesso memorizzati
In pratica, tutte le password sincronizzate mai utilizzate sul dispositivo sono state recuperate senza jailbreak.
2. Registri e cronologie complete delle applicazioni
Ogni applicazione installata presentava:
✔ Registri dettagliati
✔ Cronologia di utilizzo
✔ Dati interni
✔ Metadati
Anche le app considerate "sicure" o "crittografate" lasciavano comunque tracce recuperabili.
3. Dati completi di WhatsApp, incluse le cronologie dei gruppi
WhatsApp ha rivelato più di quanto la maggior parte degli utenti creda:
• Cronologia completa di ogni gruppo a cui si è mai iscritto
• Data di creazione di ciascun gruppo
• Chi l'ha creato
• Data di aggiunta dell'utente
• Metadati del gruppo anche dopo l'uscita dal gruppo
Questo è fondamentale nelle indagini perché un sospettato non può negare l'appartenenza a un gruppo quando il dispositivo stesso conserva:
📌 Data di creazione
📌 Identità del creatore
📌 Data di iscrizione
📌 Cronologia di partecipazione
Anche se l'utente ha abbandonato il gruppo anni fa.
4. Metadati sulla posizione a livello di messaggio
L'iPhone ha registrato la posizione esatta del mittente nel momento in cui i messaggi sono stati digitati e inviati, proprio come è successo con il messaggio @RedHatPentester.
La maggior parte delle persone non se ne accorge mai.
Gli investigatori sì.
Perché è importante
Ogni telefono racconta una storia.
Ogni app conserva tracce.
Ogni messaggio contiene più di un semplice testo.
Questa estrazione dimostra che anche senza jailbreak, gli investigatori possono scoprire:
✔ Posizioni
✔ Password
✔ Associazioni di gruppo
✔ Cronologia dei messaggi
✔ Attività dettagliata delle app
✔ Metadati di cui la maggior parte degli utenti non si accorge nemmeno dell'esistenza
I dispositivi digitali raramente dimenticano, anche quando l'utente lo fa.
Source: https://x.com/elormkdaniel/status/1993320187974541683?t=pV8BM00BIOTb8YhqC_iH3Q&s=19
English
Arabic
French
Spanish
Portuguese
Deutsch
Turkish
Dutch
Russian
Romaian
Portuguese (Brazil)
Greek