Nel corso di un’analisi forense di dispositivi mobili, l’esame dei dati estratti da applicazioni di messaggistica può evidenziare identificativi utente che non coincidono con il formato classico del contatto WhatsApp. In acquisizioni consultate tramite Cellebrite Reader, infatti, accanto ai consueti identificativi nel formato numero@s.whatsapp.net possono comparire stringhe nel formato ID@lid. La corretta interpretazione di tali elementi è rilevante ai fini della ricostruzione tecnica dei rapporti tra utenti, dispositivi, chat e gruppi.
Il formato tradizionale: “@s.whatsapp.net”
WhatsApp utilizza internamente identificativi riconducibili al sistema JID (Jabber ID). Il formato più frequentemente osservato nei database dell’applicazione è numero_di_telefono@s.whatsapp.net. In termini pratici, tale stringa rappresenta l’account WhatsApp associato a uno specifico numero telefonico registrato sulla piattaforma.
Quando in un’acquisizione compare questo suffisso, l’interpretazione è in genere lineare: l’identificativo è direttamente collegato al numero di telefono usato per l’account. In Cellebrite Reader esso può essere visualizzato nei partecipanti di una chat di gruppo, nei metadati dei messaggi, nelle rubriche interne e in ulteriori tabelle derivate dai database dell’applicazione.
Il formato “@lid”
La presenza di stringhe nel formato ID@lid segnala invece l’uso di un identificatore interno diverso dal JID classico basato sul numero. In ambito forense, ciò significa che l’applicazione, o il database da essa generato, sta rappresentando un soggetto mediante un identificativo tecnico interno e non mediante il solo numero telefonico in chiaro.
Dal punto di vista analitico, la presenza di un identificativo @lid non equivale all’assenza di un numero di telefono reale. Piuttosto, indica che il numero non è il dato primario esposto in quel preciso record o in quella specifica vista, e che l’associazione con l’utenza potrebbe dover essere ricostruita tramite ulteriori artefatti presenti nell’acquisizione.
Perché possono comparire gli identificativi “@lid”
La comparsa di tali identificativi può essere coerente con più fattori tecnici:
- gestione interna dell’identità dell’utente da parte di WhatsApp;
- evoluzione delle strutture dati nelle versioni più recenti dell’applicazione;
- sincronizzazione e correlazione tra più dispositivi nella modalità multi-device;
- necessità di astrazione del numero telefonico in alcune tabelle o viste del database;
- ricostruzione da parte dello strumento forense di record presenti in forma tecnica, senza normalizzazione verso il numero di telefono.
In altri termini, l’identificativo @lid può essere letto come un marcatore tecnico di identità interna. L’utente esiste, la relazione comunicativa può esistere, ma la rappresentazione nel dato estratto non coincide necessariamente con il classico @s.whatsapp.net.
Rapporto con Cellebrite Reader
Cellebrite Reader non inventa tali identificativi, ma li mostra sulla base dei dati presenti nei database e negli artefatti acquisiti dal dispositivo. Se l’applicazione ha memorizzato un partecipante, un mittente o un membro di gruppo con un identificativo interno @lid, lo strumento forense tenderà a esporlo come tale, salvo eventuali correlazioni automatiche rese possibili da altri record.
Per questa ragione, l’analista non dovrebbe concludere automaticamente che un record @lid indichi un’entità sconosciuta o non attribuibile. Più correttamente, dovrebbe considerarlo come un punto di partenza da correlare con:
- tabelle contatti;
- metadati delle chat e dei gruppi;
- database come
wa.dbemsgstore.dbo relativi derivati; - eventuali mapping interni presenti nell’acquisizione fisica o file system;
- ulteriori record contenenti nome visualizzato, immagine profilo, stato o riferimenti incrociati.
Differenza pratica tra “@lid” e “@s.whatsapp.net”
La differenza essenziale può essere riassunta così: @s.whatsapp.net identifica tipicamente l’account attraverso il numero telefonico, mentre @lid rappresenta un identificativo interno dell’ecosistema dati di WhatsApp. Il primo è di immediata lettura da parte dell’analista; il secondo richiede spesso un passaggio ulteriore di interpretazione e correlazione.
Nota tecnica: in una relazione forense è opportuno evitare affermazioni assolute del tipo “@lid significa con certezza X” se non supportate dal contenuto dell’acquisizione specifica. La formulazione più corretta è che si tratta di un identificativo interno utilizzato dall’applicazione e che la sua associazione al numero di telefono può richiedere verifiche ulteriori sui database e sui metadati disponibili.
Implicazioni nella relazione tecnica o peritale
In sede di relazione è consigliabile precisare che la presenza di identificativi @lid è compatibile con il normale funzionamento delle strutture dati di WhatsApp e non costituisce, di per sé, un’anomalia. L’analista dovrebbe descrivere:
- lo strumento utilizzato per l’estrazione e la consultazione;
- la sorgente del dato (chat, gruppo, tabella contatti, messaggio, metadato);
- il formato dell’identificativo così come rilevato;
- l’eventuale correlazione con altri elementi presenti nell’acquisizione;
- il grado di certezza dell’attribuzione del record a una specifica utenza telefonica.
Una formulazione tecnicamente prudente può essere la seguente: l’identificativo nel formato @lid è un identificatore interno osservato nei dati dell’applicazione WhatsApp, visualizzato dallo strumento forense in quanto presente nei record acquisiti, e la sua eventuale riconduzione a una specifica utenza telefonica richiede analisi correlativa con ulteriori artefatti.
Conclusioni
La distinzione tra @s.whatsapp.net e @lid è rilevante nell’analisi forense delle acquisizioni WhatsApp consultate con Cellebrite Reader. Il primo formato espone in modo diretto l’associazione con il numero telefonico; il secondo segnala l’uso di un identificatore interno dell’applicazione. In termini peritali, la presenza di @lid va quindi interpretata come un elemento tecnico da contestualizzare, non come un dato privo di valore né come una prova immediata e autosufficiente dell’identità del soggetto.
