Analiza razmjene podataka tijekom WhatsApp web inicijalizacije

Analiza razmjene podataka tijekom WhatsApp web inicijalizacije
Analiza razmjene podataka tijekom WhatsApp web inicijalizacije
Gabriel Martim
Subota, 20. srpnja 2024. u 13:18:36

Razumijevanje WhatsApp web inicijalizacije

U digitalnom dobu, razumijevanje komunikacije između uređaja ključno je, posebno za aplikacije kao što je WhatsApp Web. Prilikom inicijalizacije WhatsApp Weba skeniranjem QR koda, razmjenjuju se različiti parametri između Android uređaja i preglednika. Ovaj proces uključuje kriptirani promet koji može biti težak za analizu.

Unatoč korištenju alata kao što su tpacketcapture i Burp Suite sa svojim certifikatom instaliranim na uređaju, promet ostaje šifriran, postavljajući pitanja o protokolima koje koristi WhatsApp. Ovaj članak istražuje mehanizme koji stoje iza ovog procesa i istražuje potencijalne metode za analizu razmijenjenih parametara tijekom WhatsApp Web sesija.

Naredba Opis
mitmproxy.http.HTTPFlow Predstavlja jedan HTTP tok u mitmproxyju, hvatajući zahtjev i odgovor.
ctx.log.info() Bilježi podatke na mitmproxy konzolu u svrhu otklanjanja pogrešaka.
tshark -i wlan0 -w Pokreće snimanje mrežnog prometa na sučelju wlan0 i zapisuje ga u datoteku.
tshark -r -Y -T json Čita datoteku snimanja, primjenjuje filtar prikaza i ispisuje rezultat u JSON formatu.
jq '.[] | select(.layers.http2)' Obrađuje JSON izlaz za filtriranje unosa koji sadrže HTTP/2 promet.
cat whatsapp_filtered.json Prikazuje sadržaj filtrirane JSON datoteke koja sadrži WhatsApp Web promet.

Detaljno objašnjenje skripti za analizu prometa

Prva skripta koristi mitmproxy, moćan alat za presretanje HTTP i HTTPS prometa. U ovoj skripti definiramo klasu WhatsAppWebAnalyzer koji bilježi zahtjeve upućene web.whatsapp.com. The request metoda se poziva za svaki HTTP zahtjev koji prolazi kroz proxy. Provjerom je li zahtjev upućen na web.whatsapp.com, povećavamo brojač i bilježimo URL zahtjeva pomoću ctx.log.info. To nam omogućuje praćenje i evidentiranje sve komunikacije između Android uređaja i WhatsApp Weba, pružajući uvid u podatke koji se razmjenjuju tijekom procesa skeniranja QR koda. The addons popis registrira naš prilagođeni dodatak s mitmproxyjem, omogućujući skripti da radi bez problema kada se mitmproxy pokrene.

Druga skripta koristi tshark, verzija Wiresharka za naredbeni redak, za snimanje i analizu mrežnog prometa. Zapovijed tshark -i wlan0 -w inicira snimanje na bežičnom sučelju i zapisuje izlaz u datoteku. Ova se datoteka zatim čita i filtrira kako bi se prikazao samo promet povezan s IP adresom Android uređaja, pomoću tshark -r -Y -T json. JSON izlaz se dalje obrađuje s jq, JSON procesor naredbenog retka, za filtriranje HTTP/2 prometa pomoću jq '.[] | select(.layers.http2)'. Filtrirani promet se sprema i prikazuje pomoću cat whatsapp_filtered.json, pružajući detaljan prikaz WhatsApp web komunikacije. Ove skripte, u kombinaciji, nude robusnu metodu za analizu kriptiranog prometa, pomažući u otkrivanju parametara razmijenjenih tijekom inicijalizacije WhatsApp Weba.

Presretanje i analiza WhatsApp web prometa

Korištenje Pythona i mitmproxyja za analizu prometa

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

Dešifriranje WhatsApp web prometa za analizu

Korištenje Wiresharka i Tsharka za dešifriranje mrežnog prometa

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

Istraživanje naprednih tehnika za analizu WhatsApp web prometa

Jedan kritični aspekt analize WhatsApp Web prometa je razumijevanje korištenih protokola šifriranja. WhatsApp koristi end-to-end enkripciju, što znači da su poruke šifrirane na uređaju pošiljatelja i samo dekriptirane na uređaju primatelja. Zbog toga je presretanje i dešifriranje prometa izazovan zadatak. Međutim, razumijevanje mehanizma razmjene ključeva i uloge javnih i privatnih ključeva može pružiti uvid u potencijalne ranjivosti i metode za zakonito presretanje. Osim toga, analiza početnog rukovanja između uređaja i poslužitelja može otkriti vrijedne informacije o procesu enkripcije i svim metapodacima koji bi se mogli razmijeniti.

Drugi pristup je korištenje specijaliziranog hardvera ili softvera koji može izvršiti duboku inspekciju paketa (DPI). DPI alati mogu analizirati sadržaj paketa podataka dok prolaze kroz mrežu, što je korisno za prepoznavanje specifičnih aplikacija ili protokola čak i ako je promet šifriran. Na primjer, korištenje alata kao što je Wireshark u kombinaciji s dodacima dizajniranim za WhatsApp promet može pomoći u raščlanjivanju komunikacijskih obrazaca i identificiranju vrsta poruka koje se razmjenjuju. Nadalje, razumijevanje temeljnog WebSocket protokola koji koristi WhatsApp Web može ponuditi dodatne uvide, budući da ovaj protokol igra značajnu ulogu u komunikaciji u stvarnom vremenu između preglednika i WhatsApp poslužitelja.

Uobičajena pitanja o analizi WhatsApp web prometa

  1. Koji su alati najbolji za hvatanje WhatsApp web prometa?
  2. Alati poput mitmproxy i tshark obično se koriste za hvatanje i analizu mrežnog prometa.
  3. Kako WhatsApp osigurava sigurnost svog web prometa?
  4. WhatsApp koristi end-to-end enkripciju, osiguravajući da su poruke šifrirane na uređaju pošiljatelja i samo dekriptirane na uređaju primatelja.
  5. Može li se promet dešifrirati ako je šifriran?
  6. Dešifriranje je izuzetno zahtjevno zbog upotrebe end-to-end enkripcije, ali razumijevanje mehanizama razmjene ključeva može pružiti uvid.
  7. Što je duboka inspekcija paketa?
  8. Duboka inspekcija paketa (DPI) je oblik obrade podataka koji detaljno pregledava podatke koji se šalju preko mreže kako bi se identificirali protokoli ili aplikacije.
  9. Kako WebSockets pridonose WhatsApp Web komunikaciji?
  10. WebSockets olakšavaju komunikaciju u stvarnom vremenu između preglednika i WhatsApp poslužitelja, igrajući ključnu ulogu u isporuci poruka.
  11. Postoje li pravna razmatranja pri presretanju WhatsApp prometa?
  12. Da, presretanje prometa može imati zakonske implikacije i treba se provoditi u skladu s lokalnim zakonima i propisima.
  13. Mogu li se javni i privatni ključevi na bilo koji način iskorištavati?
  14. Iskorištavanje javnih i privatnih ključeva vrlo je složeno i obično nepraktično bez značajnih računalnih resursa ili ranjivosti.
  15. Koja su ograničenja korištenja mitmproxyja u ovu svrhu?
  16. mitmproxy može uhvatiti promet, ali ga možda neće dešifrirati zbog WhatsApp-ovih robusnih metoda šifriranja.
  17. Kako metapodaci mogu biti korisni u analizi prometa?
  18. Metapodaci mogu pružiti uvid u komunikacijske obrasce, kao što su vremenske oznake poruka i interakcije korisnika, bez otkrivanja sadržaja poruke.

Završne misli o WhatsApp analizi web prometa

Razumijevanje razmjene parametara tijekom inicijalizacije WhatsApp Weba zahtijeva napredne alate i tehnike zbog primijenjene jake enkripcije. Dok tradicionalne metode kao što su tpacketcapture i Burp Suite mogu podbaciti, korištenje duboke inspekcije paketa i specijaliziranog softvera može ponuditi bolji uvid. Iako izazovne, ove metode mogu pomoći u dešifriranju šifriranog prometa, pružajući jasniju sliku podataka razmijenjenih između Android uređaja i preglednika tijekom procesa skeniranja QR koda.