Analyse af dataudveksling under WhatsApp-webinitialisering

Analyse af dataudveksling under WhatsApp-webinitialisering
Analyse af dataudveksling under WhatsApp-webinitialisering
Gabriel Martim
Lørdag den 20. juli 2024 kl. 13.22.25

Forstå WhatsApp-webinitialisering

I den digitale tidsalder er forståelsen af ​​kommunikationen mellem enheder afgørende, især for applikationer som WhatsApp Web. Når WhatsApp Web initialiseres ved at scanne QR-koden, udveksles forskellige parametre mellem Android-enheden og browseren. Denne proces involverer krypteret trafik, der kan være udfordrende at analysere.

På trods af brug af værktøjer som tpacketcapture og Burp Suite med dets certifikat installeret på enheden, forbliver trafikken krypteret, hvilket rejser spørgsmål om de protokoller, der bruges af WhatsApp. Denne artikel dykker ned i mekanismerne bag denne proces og udforsker potentielle metoder til at analysere de udvekslede parametre under WhatsApp Web-sessioner.

Kommando Beskrivelse
mitmproxy.http.HTTPFlow Repræsenterer et enkelt HTTP-flow i mitmproxy, der fanger anmodningen og svaret.
ctx.log.info() Loger oplysninger til mitmproxy-konsollen til fejlretningsformål.
tshark -i wlan0 -w Starter en netværkstrafikregistrering på grænsefladen wlan0 og skriver den til en fil.
tshark -r -Y -T json Læser en optagelsesfil, anvender et visningsfilter og udsender resultatet i JSON-format.
jq '.[] | select(.layers.http2)' Behandler JSON-output for at filtrere for poster, der indeholder HTTP/2-trafik.
cat whatsapp_filtered.json Viser indholdet af den filtrerede JSON-fil, der indeholder WhatsApp-webtrafik.

Detaljeret forklaring af scripts til trafikanalyse

Det første script udnytter mitmproxy, et kraftfuldt værktøj til at opsnappe HTTP- og HTTPS-trafik. I dette script definerer vi en klasse WhatsAppWebAnalyzer der fanger de anmodninger, der er stillet til web.whatsapp.com. Det request metoden påkaldes for hver HTTP-anmodning, der passerer gennem proxyen. Ved at tjekke om anmodningen er fremsat til web.whatsapp.com, øger vi en tæller og logger anmodnings-URL'en ved hjælp af ctx.log.info. Dette giver os mulighed for at overvåge og logge al kommunikation mellem Android-enheden og WhatsApp Web, hvilket giver indsigt i de data, der udveksles under QR-kodescanningsprocessen. Det addons list registrerer vores brugerdefinerede tilføjelse med mitmproxy, hvilket gør det muligt for scriptet at køre problemfrit, når mitmproxy startes.

Det andet script bruger tshark, kommandolinjeversionen af ​​Wireshark, til at fange og analysere netværkstrafik. Kommandoen tshark -i wlan0 -w starter en capture på den trådløse grænseflade og skriver outputtet til en fil. Denne fil bliver derefter læst og filtreret for kun at vise trafikken relateret til Android-enhedens IP-adresse ved hjælp af tshark -r -Y -T json. JSON-outputtet behandles yderligere med jq, en kommandolinje JSON-processor, til at filtrere for HTTP/2-trafik ved at bruge jq '.[] | select(.layers.http2)'. Den filtrerede trafik gemmes og vises vha cat whatsapp_filtered.json, der giver et detaljeret overblik over WhatsApp-webkommunikationen. Disse scripts, kombineret, tilbyder en robust metode til at analysere krypteret trafik, og hjælper med at afdække de parametre, der udveksles under WhatsApp Web-initialisering.

Opsnappe og analysere WhatsApp-webtrafik

Brug af Python og mitmproxy til trafikanalyse

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

Dekryptering af WhatsApp-webtrafik til analyse

Brug af Wireshark og Tshark til netværkstrafikdekryptering

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

Udforskning af avancerede teknikker til WhatsApp-webtrafikanalyse

Et kritisk aspekt ved at analysere WhatsApp-webtrafik er at forstå de anvendte krypteringsprotokoller. WhatsApp anvender end-to-end-kryptering, hvilket betyder, at beskeder krypteres på afsenderens enhed og kun dekrypteres på modtagerens enhed. Dette gør at opsnappe og dekryptere trafikken til en udfordrende opgave. Forståelse af nøgleudvekslingsmekanismen og offentlige og private nøglers rolle kan dog give indsigt i potentielle sårbarheder og metoder til lovlig aflytning. Derudover kan en analyse af det indledende håndtryk mellem enheden og serveren afsløre værdifuld information om krypteringsprocessen og alle metadata, der kan udveksles.

En anden tilgang er at bruge specialiseret hardware eller software, der kan udføre deep packet inspection (DPI). DPI-værktøjer kan analysere indholdet af datapakker, når de passerer gennem et netværk, hvilket er nyttigt til at identificere specifikke applikationer eller protokoller, selvom trafikken er krypteret. For eksempel kan brug af værktøjer som Wireshark i kombination med plugins designet til WhatsApp-trafik hjælpe med at dissekere kommunikationsmønstrene og identificere de typer meddelelser, der udveksles. Desuden kan forståelsen af ​​den underliggende WebSocket-protokol, der bruges af WhatsApp Web, give yderligere indsigt, da denne protokol spiller en væsentlig rolle i realtidskommunikation mellem browseren og WhatsApp-serverne.

Almindelige spørgsmål om analyse af WhatsApp-webtrafik

  1. Hvilke værktøjer er bedst til at fange WhatsApp-webtrafik?
  2. Værktøjer som mitmproxy og tshark bruges almindeligvis til at fange og analysere netværkstrafik.
  3. Hvordan sikrer WhatsApp sikkerheden af ​​sin webtrafik?
  4. WhatsApp bruger ende-til-ende-kryptering, hvilket sikrer, at beskeder er krypteret på afsenderens enhed og kun dekrypteres på modtagerens enhed.
  5. Kan trafikken dekrypteres, hvis den er krypteret?
  6. Dekryptering er ekstremt udfordrende på grund af brugen af ​​ende-til-ende-kryptering, men forståelse af nøgleudvekslingsmekanismer kan give indsigt.
  7. Hvad er deep packet inspection?
  8. Deep packet inspection (DPI) er en form for databehandling, der detaljeret inspicerer de data, der sendes over et netværk for at identificere protokoller eller applikationer.
  9. Hvordan bidrager WebSockets til WhatsApp-webkommunikation?
  10. WebSockets letter kommunikation i realtid mellem browseren og WhatsApp-servere, hvilket spiller en afgørende rolle i leveringen af ​​beskeder.
  11. Er der juridiske overvejelser, når du opsnapper WhatsApp-trafik?
  12. Ja, aflytning af trafik kan have juridiske konsekvenser og bør ske i overensstemmelse med lokale love og regler.
  13. Kan offentlige og private nøgler udnyttes på nogen måde?
  14. Udnyttelse af offentlige og private nøgler er meget kompleks og typisk upraktisk uden væsentlige beregningsressourcer eller sårbarheder.
  15. Hvad er begrænsningerne ved at bruge mitmproxy til dette formål?
  16. mitmproxy kan fange trafik, men kan ikke dekryptere den på grund af WhatsApps robuste krypteringsmetoder.
  17. Hvordan kan metadata være nyttige i trafikanalyse?
  18. Metadata kan give indsigt i kommunikationsmønstrene, såsom meddelelsestidsstempler og brugerinteraktioner, uden at afsløre meddelelsesindhold.

Afsluttende tanker om WhatsApp-webtrafikanalyse

Forståelse af udvekslingen af ​​parametre under WhatsApp Web-initialisering kræver avancerede værktøjer og teknikker på grund af den stærke kryptering, der anvendes. Mens traditionelle metoder som tpacketcapture og Burp Suite kan komme til kort, kan udnyttelse af dyb pakkeinspektion og specialiseret software give bedre indsigt. Selvom de er udfordrende, kan disse metoder hjælpe med at dechifrere den krypterede trafik, hvilket giver et klarere billede af de data, der udveksles mellem Android-enheden og browseren under QR-kodescanningsprocessen.