تحليل تبادل البيانات أثناء تهيئة WhatsApp Web

تحليل تبادل البيانات أثناء تهيئة WhatsApp Web
تحليل تبادل البيانات أثناء تهيئة WhatsApp Web
Gabriel Martim
السبت، ٢٠ يوليو ٢٠٢٤ ١:١١:٠٠ م

فهم تهيئة WhatsApp Web

في العصر الرقمي، يعد فهم التواصل بين الأجهزة أمرًا بالغ الأهمية، خاصة بالنسبة لتطبيقات مثل WhatsApp Web. عند تهيئة WhatsApp Web عن طريق مسح رمز الاستجابة السريعة، يتم تبادل المعلمات المختلفة بين جهاز Android والمتصفح. تتضمن هذه العملية حركة مرور مشفرة قد يكون من الصعب تحليلها.

وعلى الرغم من استخدام أدوات مثل tpacketcapture وBurp Suite مع شهادتها المثبتة على الجهاز، تظل حركة المرور مشفرة، مما يثير تساؤلات حول البروتوكولات التي يستخدمها WhatsApp. تتعمق هذه المقالة في الآليات الكامنة وراء هذه العملية وتستكشف الطرق المحتملة لتحليل المعلمات المتبادلة أثناء جلسات WhatsApp Web.

يأمر وصف
mitmproxy.http.HTTPFlow يمثل تدفق HTTP واحدًا في mitmproxy، حيث يلتقط الطلب والاستجابة.
ctx.log.info() يسجل المعلومات إلى وحدة تحكم mitmproxy لأغراض تصحيح الأخطاء.
tshark -i wlan0 -w يبدأ التقاط حركة مرور الشبكة على الواجهة wlan0 ويكتبها في ملف.
tshark -r -Y -T json يقرأ ملف الالتقاط، ويطبق مرشح العرض، ويخرج النتيجة بتنسيق JSON.
jq '.[] | select(.layers.http2)' يعالج مخرجات JSON لتصفية الإدخالات التي تحتوي على حركة مرور HTTP/2.
cat whatsapp_filtered.json يعرض محتوى ملف JSON الذي تمت تصفيته والذي يحتوي على حركة مرور WhatsApp Web.

شرح تفصيلي لنصوص تحليل حركة المرور

النص الأول يستفيد mitmproxy، أداة قوية لاعتراض حركة مرور HTTP وHTTPS. في هذا البرنامج النصي، نحدد فئة WhatsAppWebAnalyzer الذي يلتقط الطلبات المقدمة ل web.whatsapp.com. ال request يتم استدعاء الطريقة لكل طلب HTTP يمر عبر الوكيل. عن طريق التحقق مما إذا كان الطلب قد تم تقديمه إلى web.whatsapp.com، نقوم بزيادة العداد وتسجيل عنوان URL للطلب باستخدام ctx.log.info. يتيح لنا ذلك مراقبة وتسجيل جميع الاتصالات بين جهاز Android وWhatsApp Web، مما يوفر نظرة ثاقبة على البيانات المتبادلة أثناء عملية مسح رمز الاستجابة السريعة. ال addons تسجل القائمة الملحق المخصص لدينا مع mitmproxy، مما يتيح تشغيل البرنامج النصي بسلاسة عند بدء تشغيل mitmproxy.

يستخدم البرنامج النصي الثاني tshark، إصدار سطر الأوامر من Wireshark، لالتقاط وتحليل حركة مرور الشبكة. الامر tshark -i wlan0 -w يبدأ الالتقاط على الواجهة اللاسلكية ويكتب الإخراج إلى ملف. تتم بعد ذلك قراءة هذا الملف وتصفيته لعرض حركة المرور المتعلقة بعنوان IP الخاص بجهاز Android فقط، وذلك باستخدام tshark -r -Y -T json. تتم معالجة مخرجات JSON بشكل أكبر باستخدام jq، معالج JSON لسطر الأوامر، لتصفية حركة مرور HTTP/2 باستخدام jq '.[] | select(.layers.http2)'. يتم حفظ حركة المرور التي تمت تصفيتها وعرضها باستخدام cat whatsapp_filtered.json، مما يوفر عرضًا تفصيليًا لاتصالات WhatsApp Web. توفر هذه البرامج النصية مجتمعة طريقة قوية لتحليل حركة المرور المشفرة، مما يساعد على الكشف عن المعلمات المتبادلة أثناء تهيئة WhatsApp Web.

اعتراض وتحليل حركة مرور الويب عبر WhatsApp

استخدام Python وmitmproxy لتحليل حركة المرور

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

فك تشفير حركة مرور ويب WhatsApp للتحليل

استخدام Wireshark وTshark لفك تشفير حركة مرور الشبكة

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

استكشاف التقنيات المتقدمة لتحليل حركة مرور الويب عبر WhatsApp

أحد الجوانب المهمة لتحليل حركة مرور WhatsApp Web هو فهم بروتوكولات التشفير المستخدمة. يستخدم واتساب التشفير الشامل، مما يعني أن الرسائل مشفرة على جهاز المرسل ولا يتم فك تشفيرها إلا على جهاز المستلم. وهذا يجعل اعتراض حركة المرور وفك تشفيرها مهمة صعبة. ومع ذلك، فإن فهم آلية تبادل المفاتيح ودور المفاتيح العامة والخاصة يمكن أن يوفر نظرة ثاقبة حول نقاط الضعف المحتملة وطرق الاعتراض القانوني. بالإضافة إلى ذلك، يمكن أن يكشف تحليل المصافحة الأولية بين الجهاز والخادم عن معلومات قيمة حول عملية التشفير وأي بيانات وصفية قد يتم تبادلها.

هناك طريقة أخرى تتمثل في استخدام أجهزة أو برامج متخصصة يمكنها إجراء فحص عميق للحزم (DPI). يمكن لأدوات DPI تحليل محتويات حزم البيانات أثناء مرورها عبر الشبكة، وهو أمر مفيد لتحديد تطبيقات أو بروتوكولات معينة حتى لو كانت حركة المرور مشفرة. على سبيل المثال، يمكن أن يساعد استخدام أدوات مثل Wireshark مع المكونات الإضافية المصممة لحركة مرور WhatsApp في تحليل أنماط الاتصال وتحديد أنواع الرسائل التي يتم تبادلها. علاوة على ذلك، فإن فهم بروتوكول WebSocket الأساسي الذي يستخدمه WhatsApp Web يمكن أن يوفر رؤى إضافية، حيث يلعب هذا البروتوكول دورًا مهمًا في الاتصال في الوقت الفعلي بين المتصفح وخوادم WhatsApp.

أسئلة شائعة حول تحليل حركة مرور الويب عبر WhatsApp

  1. ما هي الأدوات الأفضل لالتقاط حركة مرور WhatsApp Web؟
  2. أدوات مثل mitmproxy و tshark تُستخدم عادةً لالتقاط وتحليل حركة مرور الشبكة.
  3. كيف يضمن WhatsApp أمان حركة مرور الويب الخاصة به؟
  4. يستخدم واتساب التشفير الشامل، مما يضمن تشفير الرسائل على جهاز المرسل وفك تشفيرها فقط على جهاز المستلم.
  5. هل يمكن فك تشفير حركة المرور إذا كانت مشفرة؟
  6. يعد فك التشفير أمرًا صعبًا للغاية بسبب استخدام التشفير الشامل، ولكن فهم آليات التبادل الرئيسية يمكن أن يوفر رؤى.
  7. ما هو التفتيش العميق للحزم؟
  8. يعد فحص الحزم العميق (DPI) أحد أشكال معالجة البيانات التي تقوم بفحص البيانات المرسلة عبر الشبكة بالتفصيل لتحديد البروتوكولات أو التطبيقات.
  9. كيف تساهم WebSockets في اتصالات WhatsApp Web؟
  10. تعمل WebSockets على تسهيل الاتصال في الوقت الفعلي بين المتصفح وخوادم WhatsApp، وتلعب دورًا حاسمًا في تسليم الرسائل.
  11. هل هناك اعتبارات قانونية عند اعتراض حركة مرور WhatsApp؟
  12. نعم، يمكن أن يكون لاعتراض حركة المرور آثار قانونية ويجب أن يتم ذلك وفقًا للقوانين واللوائح المحلية.
  13. هل يمكن استغلال المفاتيح العامة والخاصة بأي شكل من الأشكال؟
  14. يعد استغلال المفاتيح العامة والخاصة أمرًا معقدًا للغاية وعادةً ما يكون غير عملي بدون موارد حسابية كبيرة أو ثغرات أمنية.
  15. ما هي القيود المفروضة على استخدام mitmproxy لهذا الغرض؟
  16. يمكن لـ mitmproxy التقاط حركة المرور ولكن قد لا يقوم بفك تشفيرها بسبب أساليب التشفير القوية التي يستخدمها WhatsApp.
  17. كيف يمكن أن تكون البيانات الوصفية مفيدة في تحليل حركة المرور؟
  18. يمكن أن توفر بيانات التعريف رؤى حول أنماط الاتصال، مثل الطوابع الزمنية للرسائل وتفاعلات المستخدم، دون الكشف عن محتوى الرسالة.

الأفكار النهائية حول تحليل حركة مرور الويب عبر WhatsApp

يتطلب فهم تبادل المعلمات أثناء تهيئة WhatsApp Web أدوات وتقنيات متقدمة بسبب التشفير القوي المستخدم. في حين أن الطرق التقليدية مثل tpacketcapture وBurp Suite قد تكون غير كافية، فإن الاستفادة من الفحص العميق للحزم والبرامج المتخصصة يمكن أن تقدم رؤى أفضل. على الرغم من صعوبة هذه الطرق، إلا أنها يمكن أن تساعد في فك تشفير حركة المرور المشفرة، مما يوفر صورة أوضح للبيانات المتبادلة بين جهاز Android والمتصفح أثناء عملية مسح رمز الاستجابة السريعة.