Analýza výměny dat během inicializace webu WhatsApp

Analýza výměny dat během inicializace webu WhatsApp
Analýza výměny dat během inicializace webu WhatsApp
Gabriel Martim
Sobota 20. července 2024 13:20:29

Pochopení inicializace webu WhatsApp

V digitálním věku je porozumění komunikaci mezi zařízeními zásadní, zejména pro aplikace jako WhatsApp Web. Při inicializaci WhatsApp Web skenováním QR kódu dochází k výměně různých parametrů mezi zařízením Android a prohlížečem. Tento proces zahrnuje šifrovaný provoz, jehož analýza může být náročná.

Navzdory používání nástrojů jako tpacketcapture a Burp Suite s certifikátem nainstalovaným v zařízení zůstává provoz šifrovaný, což vyvolává otázky ohledně protokolů používaných WhatsApp. Tento článek se ponoří do mechanismů za tímto procesem a zkoumá potenciální metody analýzy vyměňovaných parametrů během relací WhatsApp Web.

Příkaz Popis
mitmproxy.http.HTTPFlow Představuje jediný tok HTTP v mitmproxy, zachycující požadavek a odpověď.
ctx.log.info() Zaznamenává informace do konzoly mitmproxy pro účely ladění.
tshark -i wlan0 -w Spustí zachycování síťového provozu na rozhraní wlan0 a zapíše jej do souboru.
tshark -r -Y -T json Přečte soubor zachycení, použije filtr zobrazení a výsledek vyšle ve formátu JSON.
jq '.[] | select(.layers.http2)' Zpracuje výstup JSON pro filtrování záznamů obsahujících provoz HTTP/2.
cat whatsapp_filtered.json Zobrazuje obsah filtrovaného souboru JSON obsahujícího webový provoz WhatsApp.

Podrobné vysvětlení skriptů analýzy provozu

První skript využívá mitmproxy, výkonný nástroj pro zachycení provozu HTTP a HTTPS. V tomto skriptu definujeme třídu WhatsAppWebAnalyzer která zachycuje požadavky vznesené na web.whatsapp.com. The request metoda je vyvolána pro každý požadavek HTTP procházející přes proxy. Kontrolou, zda je žádost podána na web.whatsapp.com, zvýšíme počítadlo a zaprotokolujeme adresu URL požadavku pomocí ctx.log.info. To nám umožňuje sledovat a zaznamenávat veškerou komunikaci mezi zařízením Android a webem WhatsApp, což nám poskytuje přehled o datech vyměňovaných během procesu skenování QR kódu. The addons list registruje náš vlastní addon s mitmproxy, což umožňuje bezproblémové spuštění skriptu při spuštění mitmproxy.

Druhý skript využívá tshark, verze příkazového řádku Wireshark, pro zachycení a analýzu síťového provozu. Příkaz tshark -i wlan0 -w zahájí zachycení na bezdrátovém rozhraní a zapíše výstup do souboru. Tento soubor je poté přečten a filtrován, aby se zobrazil pouze provoz související s IP adresou zařízení Android pomocí tshark -r -Y -T json. Výstup JSON je dále zpracováván pomocí jq, procesor JSON příkazového řádku, k filtrování provozu HTTP/2 pomocí jq '.[] | select(.layers.http2)'. Filtrovaný provoz se uloží a zobrazí pomocí cat whatsapp_filtered.json, poskytující podrobný pohled na webovou komunikaci WhatsApp. Tyto skripty společně nabízejí robustní metodu pro analýzu šifrovaného provozu a pomáhají odhalit parametry vyměňované během inicializace WhatsApp Web.

Zachycování a analýza webového provozu WhatsApp

Použití Pythonu a mitmproxy pro analýzu provozu

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

Dešifrování webového provozu WhatsApp pro analýzu

Použití Wireshark a Tshark pro dešifrování síťového provozu

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

Zkoumání pokročilých technik pro analýzu webového provozu WhatsApp

Jedním kritickým aspektem analýzy webového provozu WhatsApp je pochopení používaných šifrovacích protokolů. WhatsApp využívá end-to-end šifrování, což znamená, že zprávy jsou šifrovány na zařízení odesílatele a dešifrovány pouze na zařízení příjemce. Díky tomu je zachycení a dešifrování provozu náročným úkolem. Pochopení mechanismu výměny klíčů a role veřejných a soukromých klíčů však může poskytnout vhled do potenciálních zranitelností a metod pro zákonné odposlechy. Kromě toho může analýza počátečního handshake mezi zařízením a serverem odhalit cenné informace o procesu šifrování a případných metadatech, která mohou být vyměněna.

Dalším přístupem je použití specializovaného hardwaru nebo softwaru, který může provádět hloubkovou kontrolu paketů (DPI). Nástroje DPI mohou analyzovat obsah datových paketů, když procházejí sítí, což je užitečné pro identifikaci konkrétních aplikací nebo protokolů, i když je provoz šifrován. Například používání nástrojů, jako je Wireshark v kombinaci s pluginy určenými pro provoz WhatsApp, může pomoci rozebrat komunikační vzorce a identifikovat typy vyměňovaných zpráv. Pochopení základního protokolu WebSocket používaného WhatsApp Web může navíc nabídnout další poznatky, protože tento protokol hraje významnou roli v komunikaci mezi prohlížečem a servery WhatsApp v reálném čase.

Běžné otázky týkající se analýzy webového provozu WhatsApp

  1. Jaké nástroje jsou nejlepší pro zachycení webového provozu WhatsApp?
  2. Nástroje jako mitmproxy a tshark se běžně používají pro zachycení a analýzu síťového provozu.
  3. Jak WhatsApp zajišťuje bezpečnost svého webového provozu?
  4. WhatsApp používá end-to-end šifrování, které zajišťuje, že zprávy jsou šifrovány na zařízení odesílatele a dešifrovány pouze na zařízení příjemce.
  5. Lze provoz dešifrovat, pokud je zašifrován?
  6. Dešifrování je extrémně náročné kvůli použití end-to-end šifrování, ale pochopení mechanismů výměny klíčů může poskytnout přehled.
  7. Co je hloubková kontrola paketů?
  8. Hluboká kontrola paketů (DPI) je forma zpracování dat, která podrobně kontroluje data odesílaná přes síť, aby identifikovala protokoly nebo aplikace.
  9. Jak WebSockets přispívají k webové komunikaci WhatsApp?
  10. WebSockets usnadňují komunikaci v reálném čase mezi prohlížečem a servery WhatsApp a hrají klíčovou roli při doručování zpráv.
  11. Existují právní aspekty při zachycování provozu WhatsApp?
  12. Ano, zadržování provozu může mít právní důsledky a mělo by být prováděno v souladu s místními zákony a předpisy.
  13. Lze nějak zneužít veřejné a soukromé klíče?
  14. Zneužívání veřejných a soukromých klíčů je velmi složité a obvykle nepraktické bez významných výpočetních zdrojů nebo zranitelností.
  15. Jaká jsou omezení používání mitmproxy pro tento účel?
  16. mitmproxy může zachytit provoz, ale nemusí jej dešifrovat kvůli robustním metodám šifrování WhatsApp.
  17. Jak mohou být metadata užitečná při analýze provozu?
  18. Metadata mohou poskytnout vhled do komunikačních vzorců, jako jsou časová razítka zpráv a interakce uživatelů, aniž by byl odhalen obsah zprávy.

Poslední myšlenky na analýzu webového provozu WhatsApp

Pochopení výměny parametrů během inicializace WhatsApp Web vyžaduje pokročilé nástroje a techniky kvůli použitému silnému šifrování. Zatímco tradiční metody jako tpacketcapture a Burp Suite mohou zaostávat, využití hloubkové kontroly paketů a specializovaného softwaru může nabídnout lepší přehled. Ačkoli jsou tyto metody náročné, mohou pomoci dešifrovat šifrovaný provoz a poskytnout jasnější obrázek o datech vyměňovaných mezi zařízením Android a prohlížečem během procesu skenování QR kódu.