Andmevahetuse analüüsimine WhatsAppi veebiinitsialiseerimise ajal

Andmevahetuse analüüsimine WhatsAppi veebiinitsialiseerimise ajal
Andmevahetuse analüüsimine WhatsAppi veebiinitsialiseerimise ajal
Gabriel Martim
Laupäev, 20. juuli 2024 13:26:09

WhatsAppi veebiinitsialiseerimise mõistmine

Digiajastul on seadmetevahelise suhtluse mõistmine ülioluline, eriti selliste rakenduste puhul nagu WhatsApp Web. WhatsApp Webi lähtestamisel QR-koodi skaneerimisega vahetatakse Android-seadme ja brauseri vahel erinevaid parameetreid. See protsess hõlmab krüptitud liiklust, mida võib olla keeruline analüüsida.

Hoolimata selliste tööriistade nagu tpacketcapture ja Burp Suite kasutamisest, mille sertifikaat on seadmesse installitud, jääb liiklus krüpteerituks, tekitades küsimusi WhatsAppi kasutatavate protokollide kohta. Selles artiklis käsitletakse selle protsessi taga olevaid mehhanisme ja uuritakse võimalikke meetodeid WhatsAppi veebiseansside ajal vahetatud parameetrite analüüsimiseks.

Käsk Kirjeldus
mitmproxy.http.HTTPFlow Esindab üht HTTP-voogu mitmproxys, hõivates päringu ja vastuse.
ctx.log.info() Logib teabe silumise eesmärgil mitmproxy konsooli.
tshark -i wlan0 -w Käivitab võrguliikluse hõivamise liidesel wlan0 ja kirjutab selle faili.
tshark -r -Y -T json Loeb püüdmisfaili, rakendab kuvafiltrit ja väljastab tulemuse JSON-vormingus.
jq '.[] | select(.layers.http2)' Töötleb JSON-i väljundit HTTP/2 liiklust sisaldavate kirjete filtreerimiseks.
cat whatsapp_filtered.json Kuvab WhatsAppi veebiliiklust sisaldava filtreeritud JSON-faili sisu.

Liiklusanalüüsi skriptide üksikasjalik selgitus

Esimene skript kasutab mitmproxy, võimas tööriist HTTP- ja HTTPS-liikluse pealtkuulamiseks. Selles skriptis määratleme klassi WhatsAppWebAnalyzer mis hõlmab esitatud taotlusi web.whatsapp.com. The request meetodit kasutatakse iga puhverserverit läbiva HTTP-päringu jaoks. Kontrollides, kas taotlus on tehtud web.whatsapp.com, suurendame loendurit ja logime päringu URL-i kasutades ctx.log.info. See võimaldab meil jälgida ja logida kogu suhtlust Android-seadme ja WhatsApp Webi vahel, pakkudes ülevaadet QR-koodi skannimise käigus vahetatud andmetest. The addons list registreerib meie kohandatud lisandmooduli mitmproxyga, võimaldades skriptil mitmproxy käivitamisel sujuvalt käitada.

Teine skript kasutab tshark, Wiresharki käsurea versioon võrguliikluse hõivamiseks ja analüüsimiseks. Käsk tshark -i wlan0 -w käivitab traadita liideses püüdmise ja kirjutab väljundi faili. Seda faili loetakse ja filtreeritakse, et kuvada ainult Android-seadme IP-aadressiga seotud liiklus, kasutades tshark -r -Y -T json. JSON-väljundit töödeldakse edasi jq, käsurea JSON-protsessor, et filtreerida HTTP/2 liiklust kasutades jq '.[] | select(.layers.http2)'. Filtreeritud liiklus salvestatakse ja kuvatakse kasutades cat whatsapp_filtered.json, mis annab üksikasjaliku ülevaate WhatsAppi veebisuhtlusest. Need skriptid koos pakuvad tugevat meetodit krüptitud liikluse analüüsimiseks, aidates avastada WhatsApp Web lähtestamise ajal vahetatud parameetreid.

WhatsAppi veebiliikluse pealtkuulamine ja analüüsimine

Pythoni ja mitmproxy kasutamine liikluse analüüsimiseks

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

WhatsAppi veebiliikluse dekrüpteerimine analüüsimiseks

Wiresharki ja Tsharki kasutamine võrguliikluse dekrüpteerimiseks

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

WhatsAppi veebiliikluse analüüsi täiustatud tehnikate uurimine

WhatsAppi veebiliikluse analüüsimise üks kriitiline aspekt on kasutatavate krüpteerimisprotokollide mõistmine. WhatsApp kasutab otsast lõpuni krüptimist, mis tähendab, et sõnumid krüpteeritakse saatja seadmes ja dekrüpteeritakse ainult saaja seadmes. See muudab liikluse pealtkuulamise ja dekrüpteerimise keeruliseks ülesandeks. Võtmevahetusmehhanismi ning avalike ja privaatvõtmete rolli mõistmine võib aga anda ülevaate võimalikest haavatavustest ja seadusliku pealtkuulamise meetoditest. Lisaks võib seadme ja serveri vahelise esialgse käepigistuse analüüsimine paljastada väärtuslikku teavet krüpteerimisprotsessi ja kõigi metaandmete kohta, mida võidakse vahetada.

Teine võimalus on kasutada spetsiaalset riist- või tarkvara, mis suudab läbi viia sügava pakettide kontrolli (DPI). DPI-tööriistad saavad analüüsida andmepakettide sisu, kui need läbivad võrku, mis on kasulik konkreetsete rakenduste või protokollide tuvastamiseks isegi siis, kui liiklus on krüptitud. Näiteks võib selliste tööriistade nagu Wireshark kasutamine koos WhatsAppi liikluse jaoks loodud pistikprogrammidega aidata eristada suhtlusmustreid ja tuvastada vahetatavate sõnumite tüübid. Lisaks võib WhatsApp Webi aluseks oleva WebSocketi protokolli mõistmine pakkuda täiendavat teavet, kuna sellel protokollil on oluline roll brauseri ja WhatsAppi serverite vahelises reaalajas suhtluses.

Levinud küsimused WhatsAppi veebiliikluse analüüsimise kohta

  1. Millised tööriistad on WhatsAppi veebiliikluse hõivamiseks parimad?
  2. Tööriistad nagu mitmproxy ja tshark kasutatakse tavaliselt võrguliikluse hõivamiseks ja analüüsimiseks.
  3. Kuidas tagab WhatsApp oma veebiliikluse turvalisuse?
  4. WhatsApp kasutab täielikku krüptimist, tagades, et sõnumid krüpteeritakse saatja seadmes ja dekrüpteeritakse ainult saaja seadmes.
  5. Kas liiklust saab dekrüpteerida, kui see on krüptitud?
  6. Dekrüpteerimine on täieliku krüptimise kasutamise tõttu äärmiselt keeruline, kuid võtmevahetusmehhanismide mõistmine võib anda ülevaate.
  7. Mis on pakettide sügav kontroll?
  8. Deep pakettide kontroll (DPI) on andmetöötluse vorm, mis kontrollib üksikasjalikult võrgu kaudu saadetavaid andmeid, et tuvastada protokolle või rakendusi.
  9. Kuidas aitavad WebSocketid kaasa WhatsAppi veebisuhtlusele?
  10. WebSockets hõlbustab reaalajas suhtlust brauseri ja WhatsAppi serverite vahel, mängides olulist rolli sõnumite edastamisel.
  11. Kas WhatsAppi liikluse pealtkuulamisel on juriidilisi kaalutlusi?
  12. Jah, liikluse pealtkuulamisel võivad olla juriidilised tagajärjed ja see peaks toimuma kooskõlas kohalike seaduste ja määrustega.
  13. Kas avalikke ja privaatvõtmeid saab kuidagi ära kasutada?
  14. Avalike ja privaatvõtmete kasutamine on väga keeruline ja tavaliselt ebapraktiline ilma märkimisväärsete arvutusressursside või haavatavusteta.
  15. Millised on mitmproxy kasutamise piirangud sel eesmärgil?
  16. mitmproxy suudab liiklust hõivata, kuid ei pruugi seda WhatsAppi tugevate krüptimismeetodite tõttu dekrüpteerida.
  17. Kuidas saavad metaandmed liiklusanalüüsis kasulikud olla?
  18. Metaandmed võivad anda ülevaate suhtlusmustritest, nagu sõnumite ajatemplid ja kasutaja interaktsioonid, ilma sõnumi sisu paljastamata.

Viimased mõtted WhatsAppi veebiliikluse analüüsi kohta

Parameetrite vahetamise mõistmine WhatsApp Web lähtestamise ajal nõuab kasutatava tugeva krüptimise tõttu täiustatud tööriistu ja tehnikaid. Kuigi traditsioonilised meetodid, nagu tpacketcapture ja Burp Suite, võivad ebaõnnestuda, võib pakettide sügava kontrolli ja spetsiaalse tarkvara kasutamine pakkuda paremat ülevaadet. Kuigi need meetodid on keerulised, võivad need aidata krüptitud liiklust dešifreerida, pakkudes selgemat pilti Android-seadme ja brauseri vahel QR-koodi skannimise käigus vahetatavatest andmetest.