Tietojenvaihdon analysointi WhatsApp Webin alustuksen aikana

Tietojenvaihdon analysointi WhatsApp Webin alustuksen aikana
Tietojenvaihdon analysointi WhatsApp Webin alustuksen aikana
Gabriel Martim
Lauantai 20. heinäkuuta 2024 klo 13.27.53

WhatsApp-verkkoalustuksen ymmärtäminen

Digitaalisella aikakaudella laitteiden välisen viestinnän ymmärtäminen on ratkaisevan tärkeää erityisesti sovelluksissa, kuten WhatsApp Web. Kun WhatsApp Web alustetaan skannaamalla QR-koodi, Android-laitteen ja selaimen välillä vaihdetaan erilaisia ​​parametreja. Tämä prosessi sisältää salattua liikennettä, jonka analysointi voi olla haastavaa.

Huolimatta siitä, että käytetään työkaluja, kuten tpacketcapture ja Burp Suite, joiden sertifikaatti on asennettu laitteeseen, liikenne pysyy salattuna, mikä herättää kysymyksiä WhatsAppin käyttämistä protokollista. Tässä artikkelissa käsitellään tämän prosessin taustalla olevia mekanismeja ja tutkitaan mahdollisia menetelmiä vaihdettujen parametrien analysoimiseksi WhatsApp Web -istuntojen aikana.

Komento Kuvaus
mitmproxy.http.HTTPFlow Edustaa yhtä HTTP-virtaa mitmproxyssa, joka kaappaa pyynnön ja vastauksen.
ctx.log.info() Kirjaa tiedot mitmproxy-konsoliin virheenkorjausta varten.
tshark -i wlan0 -w Käynnistää verkkoliikenteen kaappauksen käyttöliittymässä wlan0 ja kirjoittaa sen tiedostoon.
tshark -r -Y -T json Lukee kaappaustiedoston, käyttää näyttösuodatinta ja tulostaa tuloksen JSON-muodossa.
jq '.[] | select(.layers.http2)' Käsittelee JSON-tulosteen HTTP/2-liikennettä sisältävien merkintöjen suodattamiseksi.
cat whatsapp_filtered.json Näyttää WhatsApp-verkkoliikennettä sisältävän suodatetun JSON-tiedoston sisällön.

Liikenneanalyysin komentosarjojen yksityiskohtainen selitys

Ensimmäinen käsikirjoitus hyödyntää mitmproxy, tehokas työkalu HTTP- ja HTTPS-liikenteen sieppaamiseen. Tässä skriptissä määrittelemme luokan WhatsAppWebAnalyzer joka tallentaa osoitetut pyynnöt web.whatsapp.com. The request menetelmää kutsutaan jokaiselle välityspalvelimen kautta kulkevalle HTTP-pyynnölle. Tarkistamalla, onko pyyntö tehty web.whatsapp.com, lisäämme laskuria ja kirjaamme pyynnön URL-osoitteen käyttämällä ctx.log.info. Tämän avulla voimme seurata ja kirjata kaikkea Android-laitteen ja WhatsApp Webin välistä viestintää, mikä antaa käsityksen QR-koodin skannausprosessin aikana vaihdetuista tiedoista. The addons lista rekisteröi mukautetun lisäosan mitmproxylle, mikä mahdollistaa skriptin suorittamisen saumattomasti, kun mitmproxy käynnistetään.

Toinen skripti käyttää tshark, Wiresharkin komentoriviversio verkkoliikenteen sieppaamiseen ja analysointiin. Käsky tshark -i wlan0 -w käynnistää sieppauksen langattomassa käyttöliittymässä ja kirjoittaa lähdön tiedostoon. Tämä tiedosto luetaan ja suodatetaan näyttämään vain Android-laitteen IP-osoitteeseen liittyvä liikenne käyttämällä tshark -r -Y -T json. JSON-tulostusta käsitellään edelleen jq, komentorivin JSON-prosessori, joka suodattaa HTTP/2-liikennettä käyttämällä jq '.[] | select(.layers.http2)'. Suodatettu liikenne tallennetaan ja näytetään käyttämällä cat whatsapp_filtered.json, joka tarjoaa yksityiskohtaisen kuvan WhatsApp-verkkoviestinnästä. Nämä skriptit yhdessä tarjoavat vankan menetelmän salatun liikenteen analysointiin, mikä auttaa paljastamaan WhatsApp Webin alustuksen aikana vaihdetut parametrit.

Kaappaa ja analysoi WhatsApp-verkkoliikennettä

Pythonin ja mitmproxyn käyttäminen liikenteen analysointiin

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

WhatsApp-verkkoliikenteen salauksen purkaminen analysointia varten

Wiresharkin ja Tsharkin käyttäminen verkkoliikenteen salauksen purkamiseen

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

Tutkimme edistyneitä tekniikoita WhatsApp-verkkoliikenteen analysointiin

Yksi kriittinen näkökohta WhatsApp-verkkoliikenteen analysoinnissa on käytettyjen salausprotokollien ymmärtäminen. WhatsApp käyttää päästä päähän -salausta, mikä tarkoittaa, että viestit salataan lähettäjän laitteella ja salaus puretaan vain vastaanottajan laitteella. Tämä tekee liikenteen sieppaamisesta ja salauksen purkamisesta haastavan tehtävän. Avaintenvaihtomekanismin ja julkisten ja yksityisten avainten roolin ymmärtäminen voi kuitenkin antaa käsityksen mahdollisista haavoittuvuuksista ja laillisen sieppauksen menetelmistä. Lisäksi laitteen ja palvelimen välisen ensimmäisen kättelyn analysointi voi paljastaa arvokasta tietoa salausprosessista ja mahdollisesti vaihdettavista metatiedoista.

Toinen lähestymistapa on käyttää erikoislaitteita tai ohjelmistoja, jotka voivat suorittaa syvän pakettitarkistuksen (DPI). DPI-työkalut voivat analysoida datapakettien sisältöä niiden kulkiessa verkon läpi, mikä on hyödyllistä tiettyjen sovellusten tai protokollien tunnistamisessa, vaikka liikenne olisi salattua. Esimerkiksi Wiresharkin kaltaisten työkalujen käyttö yhdessä WhatsApp-liikenteeseen suunniteltujen laajennusten kanssa voi auttaa erittelemään viestintämalleja ja tunnistamaan vaihdettavien viestien tyypit. Lisäksi WhatsApp Webin käyttämän taustalla olevan WebSocket-protokollan ymmärtäminen voi tarjota lisänäkemyksiä, koska tällä protokollalla on merkittävä rooli reaaliaikaisessa viestinnässä selaimen ja WhatsApp-palvelimien välillä.

Yleisiä kysymyksiä WhatsApp-verkkoliikenteen analysoinnista

  1. Mitkä työkalut ovat parhaita WhatsApp-verkkoliikenteen sieppaamiseen?
  2. Työkalut kuten mitmproxy ja tshark käytetään yleisesti verkkoliikenteen sieppaamiseen ja analysointiin.
  3. Kuinka WhatsApp varmistaa verkkoliikenteensä turvallisuuden?
  4. WhatsApp käyttää päästä päähän -salausta varmistaen, että viestit salataan lähettäjän laitteella ja puretaan vain vastaanottajan laitteella.
  5. Voidaanko liikenteen salaus purkaa, jos se on salattu?
  6. Salauksen purkaminen on äärimmäisen haastavaa päästä päähän -salauksen käytön vuoksi, mutta avaintenvaihtomekanismien ymmärtäminen voi tarjota oivalluksia.
  7. Mikä on syväpakettien tarkastus?
  8. Deep pakettitarkastus (DPI) on tietojenkäsittelyn muoto, joka tarkastaa yksityiskohtaisesti verkon kautta lähetettävät tiedot protokollien tai sovellusten tunnistamiseksi.
  9. Miten WebSockets edistää WhatsApp-verkkoviestintää?
  10. WebSocketit helpottavat reaaliaikaista viestintää selaimen ja WhatsApp-palvelimien välillä, ja niillä on ratkaiseva rooli viestien toimittamisessa.
  11. Onko WhatsApp-liikenteen sieppaamisessa laillisia näkökohtia?
  12. Kyllä, liikenteen pysäyttämisellä voi olla oikeudellisia seurauksia, ja se tulee tehdä paikallisten lakien ja määräysten mukaisesti.
  13. Voidaanko julkisia ja yksityisiä avaimia hyödyntää millään tavalla?
  14. Julkisten ja yksityisten avainten hyödyntäminen on erittäin monimutkaista ja tyypillisesti epäkäytännöllistä ilman merkittäviä laskentaresursseja tai haavoittuvuuksia.
  15. Mitkä ovat mitmproxyn käytön rajoitukset tähän tarkoitukseen?
  16. mitmproxy voi kaapata liikennettä, mutta ei välttämättä purkaa sen salausta WhatsAppin vahvojen salausmenetelmien vuoksi.
  17. Miten metatiedoista voi olla hyötyä liikenneanalyysissä?
  18. Metadata voi tarjota oivalluksia viestintämalleista, kuten viestien aikaleimoista ja käyttäjien vuorovaikutuksista, paljastamatta viestin sisältöä.

Viimeiset ajatukset WhatsApp-verkkoliikenteen analyysistä

Parametrien vaihdon ymmärtäminen WhatsApp Webin alustuksen aikana vaatii kehittyneitä työkaluja ja tekniikoita käytetyn vahvan salauksen vuoksi. Vaikka perinteiset menetelmät, kuten tpacketcapture ja Burp Suite, saattavat jäädä vajaaksi, syvän pakettien tarkastuksen ja erikoisohjelmistojen hyödyntäminen voi tarjota parempia näkemyksiä. Vaikka nämä menetelmät ovatkin haastavia, ne voivat auttaa salatun liikenteen tulkinnassa ja antaa selkeämmän kuvan Android-laitteen ja selaimen välillä QR-koodin skannausprosessin aikana vaihdetusta tiedosta.