Analisi dello scambio di dati durante l'inizializzazione di WhatsApp Web

Analisi dello scambio di dati durante l'inizializzazione di WhatsApp Web
Analisi dello scambio di dati durante l'inizializzazione di WhatsApp Web
Gabriel Martim
Sabato 20 luglio 2024 13:40:48

Comprendere l'inizializzazione di WhatsApp Web

Nell'era digitale, comprendere la comunicazione tra dispositivi è fondamentale, soprattutto per applicazioni come WhatsApp Web. Quando si inizializza WhatsApp Web tramite la scansione del codice QR, vengono scambiati diversi parametri tra il dispositivo Android e il browser. Questo processo coinvolge traffico crittografato che può essere difficile da analizzare.

Nonostante si utilizzino strumenti come tpacketcapture e Burp Suite con relativo certificato installato sul dispositivo, il traffico rimane crittografato, sollevando dubbi sui protocolli utilizzati da WhatsApp. Questo articolo approfondisce i meccanismi alla base di questo processo ed esplora i potenziali metodi per analizzare i parametri scambiati durante le sessioni Web di WhatsApp.

Comando Descrizione
mitmproxy.http.HTTPFlow Rappresenta un singolo flusso HTTP in mitmproxy, acquisendo la richiesta e la risposta.
ctx.log.info() Registra le informazioni nella console mitmproxy per scopi di debug.
tshark -i wlan0 -w Avvia un'acquisizione del traffico di rete sull'interfaccia wlan0 e la scrive in un file.
tshark -r -Y -T json Legge un file di acquisizione, applica un filtro di visualizzazione e restituisce il risultato in formato JSON.
jq '.[] | select(.layers.http2)' Elabora l'output JSON per filtrare le voci contenenti traffico HTTP/2.
cat whatsapp_filtered.json Visualizza il contenuto del file JSON filtrato contenente il traffico Web di WhatsApp.

Spiegazione dettagliata degli script di analisi del traffico

Il primo script sfrutta mitmproxy, un potente strumento per intercettare il traffico HTTP e HTTPS. In questo script definiamo una classe WhatsAppWebAnalyzer che cattura le richieste fatte a web.whatsapp.com. IL request viene richiamato per ogni richiesta HTTP che passa attraverso il proxy. Controllando se la richiesta è rivolta a web.whatsapp.com, incrementiamo un contatore e registriamo l'URL della richiesta utilizzando ctx.log.info. Ciò ci consente di monitorare e registrare tutte le comunicazioni tra il dispositivo Android e WhatsApp Web, fornendo informazioni dettagliate sui dati scambiati durante il processo di scansione del codice QR. IL addons list registra il nostro componente aggiuntivo personalizzato con mitmproxy, consentendo allo script di essere eseguito senza problemi all'avvio di mitmproxy.

Il secondo script utilizza tshark, la versione da riga di comando di Wireshark, per acquisire e analizzare il traffico di rete. Il comando tshark -i wlan0 -w avvia un'acquisizione sull'interfaccia wireless e scrive l'output in un file. Questo file viene quindi letto e filtrato per visualizzare solo il traffico relativo all'indirizzo IP del dispositivo Android, utilizzando tshark -r -Y -T json. L'output JSON viene ulteriormente elaborato con jq, un processore JSON da riga di comando, per filtrare il traffico HTTP/2 utilizzando jq '.[] | select(.layers.http2)'. Il traffico filtrato viene salvato e visualizzato utilizzando cat whatsapp_filtered.json, fornendo una visione dettagliata della comunicazione WhatsApp Web. Questi script, combinati, offrono un metodo affidabile per analizzare il traffico crittografato, aiutando a scoprire i parametri scambiati durante l'inizializzazione di WhatsApp Web.

Intercettare e analizzare il traffico web di WhatsApp

Utilizzo di Python e mitmproxy per l'analisi del traffico

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

Decifrare il traffico web di WhatsApp per l'analisi

Utilizzo di Wireshark e Tshark per la decrittografia del traffico di rete

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

Esplorazione di tecniche avanzate per l'analisi del traffico web di WhatsApp

Un aspetto fondamentale dell'analisi del traffico Web di WhatsApp è comprendere i protocolli di crittografia utilizzati. WhatsApp utilizza la crittografia end-to-end, il che significa che i messaggi vengono crittografati sul dispositivo del mittente e decrittografati solo sul dispositivo del destinatario. Ciò rende l’intercettazione e la decrittografia del traffico un compito impegnativo. Tuttavia, comprendere il meccanismo di scambio delle chiavi e il ruolo delle chiavi pubbliche e private può fornire informazioni sulle potenziali vulnerabilità e sui metodi per l’intercettazione legale. Inoltre, l’analisi dell’handshake iniziale tra il dispositivo e il server può rivelare informazioni preziose sul processo di crittografia e su eventuali metadati che potrebbero essere scambiati.

Un altro approccio consiste nell'utilizzare hardware o software specializzato in grado di eseguire l'ispezione approfondita dei pacchetti (DPI). Gli strumenti DPI possono analizzare il contenuto dei pacchetti di dati mentre attraversano una rete, il che è utile per identificare applicazioni o protocolli specifici anche se il traffico è crittografato. Ad esempio, l’utilizzo di strumenti come Wireshark in combinazione con plugin progettati per il traffico WhatsApp può aiutare ad analizzare i modelli di comunicazione e identificare i tipi di messaggi scambiati. Inoltre, comprendere il protocollo WebSocket sottostante utilizzato da WhatsApp Web può offrire ulteriori spunti, poiché questo protocollo svolge un ruolo significativo nella comunicazione in tempo reale tra il browser e i server WhatsApp.

Domande comuni sull'analisi del traffico web di WhatsApp

  1. Quali sono gli strumenti migliori per acquisire il traffico Web di WhatsApp?
  2. Strumenti come mitmproxy E tshark sono comunemente usati per acquisire e analizzare il traffico di rete.
  3. In che modo WhatsApp garantisce la sicurezza del proprio traffico web?
  4. WhatsApp utilizza la crittografia end-to-end, garantendo che i messaggi vengano crittografati sul dispositivo del mittente e decrittografati solo sul dispositivo del destinatario.
  5. Il traffico può essere decrittografato se è crittografato?
  6. La decrittografia è estremamente impegnativa a causa dell’uso della crittografia end-to-end, ma la comprensione dei meccanismi di scambio delle chiavi può fornire informazioni utili.
  7. Che cos'è l'ispezione approfondita dei pacchetti?
  8. L'ispezione approfondita dei pacchetti (DPI) è una forma di elaborazione dei dati che ispeziona in dettaglio i dati inviati su una rete per identificare protocolli o applicazioni.
  9. In che modo i WebSocket contribuiscono alla comunicazione Web di WhatsApp?
  10. I WebSocket facilitano la comunicazione in tempo reale tra il browser e i server WhatsApp, svolgendo un ruolo cruciale nella consegna dei messaggi.
  11. Esistono considerazioni legali quando si intercetta il traffico WhatsApp?
  12. Sì, l'intercettazione del traffico può avere implicazioni legali e deve essere effettuata nel rispetto delle leggi e dei regolamenti locali.
  13. Le chiavi pubbliche e private possono essere sfruttate in qualche modo?
  14. Lo sfruttamento delle chiavi pubbliche e private è estremamente complesso e generalmente poco pratico senza risorse computazionali o vulnerabilità significative.
  15. Quali sono i limiti dell'utilizzo di mitmproxy per questo scopo?
  16. mitmproxy può acquisire il traffico ma potrebbe non decrittografarlo a causa dei robusti metodi di crittografia di WhatsApp.
  17. In che modo i metadati possono essere utili nell'analisi del traffico?
  18. I metadati possono fornire informazioni dettagliate sui modelli di comunicazione, come la data e l'ora dei messaggi e le interazioni dell'utente, senza rivelare il contenuto del messaggio.

Considerazioni finali sull'analisi del traffico web di WhatsApp

Comprendere lo scambio di parametri durante l'inizializzazione di WhatsApp Web richiede strumenti e tecniche avanzati a causa della potente crittografia utilizzata. Sebbene i metodi tradizionali come tpacketcapture e Burp Suite possano non essere all’altezza, sfruttare l’ispezione approfondita dei pacchetti e un software specializzato può offrire informazioni migliori. Sebbene impegnativi, questi metodi possono aiutare a decifrare il traffico crittografato, fornendo un quadro più chiaro dei dati scambiati tra il dispositivo Android e il browser durante il processo di scansione del codice QR.