ã®ãããªãã¼ã« mitmproxy ããã¦ tshark ãããã¯ã¼ã¯ ãã©ãã£ãã¯ã®ãã£ããã£ã¨åæã«ããä½¿ç¨ããã¾ãã

ãã£ã¼ããã±ããã¤ã³ã¹ãã¯ã·ã§ã³ã¨ã¯ä½ã§ãã?

WebSocket ã¯ WhatsApp Web éä¿¡ã«ã©ã®ããã«è²¢ç®ãã¾ãã?

WhatsApp ãã©ãã£ãã¯ãååããéã«æ³çèæ®äºé ã¯ããã¾ãã?

ãã®ç®çã§ mitmproxy ãä½¿ç¨ããå ´åã®å¶éã¯ä½ã§ãã?

mitmproxy ã¯ãã©ãã£ãã¯ããã£ããã£ã§ãã¾ãããWhââatsApp ã®å¼·åãªæå·åæ¹å¼ã«ããå¾©å·åã§ããªãå ´åãããã¾ãã

ã¡ã¿ãã¼ã¿ã¯ãã©ãã£ãã¯åæã«ã©ã®ããã«å½¹ç«ã¡ã¾ãã?

WhatsApp Web 初期化中のデータ交換の分析

Gabriel Martim

2024年7月20日土曜日 13:42:52

WhatsApp Web の初期化について

デジタル時代では、特に WhatsApp Web のようなアプリケーションでは、デバイス間の通信を理解することが重要です。 QRコードをスキャンしてWhatsApp Webを初期化すると、Androidデバイスとブラウザの間でさまざまなパラメータが交換されます。このプロセスには暗号化されたトラフィックが含まれるため、分析が困難になる可能性があります。

証明書がデバイスにインストールされている tpacketcapture や Burp Suite などのツールを使用しているにもかかわらず、トラフィックは暗号化されたままであるため、WhatsApp で使用されるプロトコルについて疑問が生じます。この記事では、このプロセスの背後にあるメカニズムを詳しく掘り下げ、WhatsApp Web セッション中に交換されるパラメーターを分析するための潜在的な方法を検討します。

指示	説明
mitmproxy.http.HTTPFlow	mitmproxy の単一の HTTP フローを表し、リクエストとレスポンスをキャプチャします。
ctx.log.info()	デバッグの目的で情報を mitmproxy コンソールに記録します。
tshark -i wlan0 -w	インターフェイス wlan0 でネットワークトラフィックのキャプチャを開始し、ファイルに書き込みます。
tshark -r -Y -T json	キャプチャファイルを読み取り、表示フィルターを適用し、結果を JSON 形式で出力します。
jq '.[] \| select(.layers.http2)'	JSON 出力を処理して、HTTP/2 トラフィックを含むエントリをフィルタリングします。
cat whatsapp_filtered.json	WhatsApp Web トラフィックを含む、フィルタリングされた JSON ファイルの内容を表示します。

トラフィック分析スクリプトの詳細な説明

最初のスクリプトでは、 mitmproxy、HTTP および HTTPS トラフィックを傍受するための強力なツールです。このスクリプトでは、クラスを定義します。 WhatsAppWebAnalyzer に対して行われたリクエストをキャプチャします web.whatsapp.com。の request このメソッドは、プロキシを通過する HTTP リクエストごとに呼び出されます。リクエストが行われたかどうかを確認することで、 web.whatsapp.com、カウンターをインクリメントし、次を使用してリクエスト URL を記録します。 ctx.log.info。これにより、Android デバイスと WhatsApp Web の間のすべての通信を監視および記録できるようになり、QR コードのスキャンプロセス中に交換されるデータについての洞察が得られます。の addons list はカスタムアドオンを mitmproxy に登録し、mitmproxy の開始時にスクリプトをシームレスに実行できるようにします。

2 番目のスクリプトでは、 tshark、ネットワークトラフィックをキャプチャして分析するための Wireshark のコマンドラインバージョン。コマンド tshark -i wlan0 -w ワイヤレスインターフェイスでキャプチャを開始し、出力をファイルに書き込みます。次に、このファイルが読み取られてフィルタリングされ、Android デバイスの IP アドレスに関連するトラフィックのみが表示されます。 tshark -r -Y -T json。 JSON 出力はさらに次のように処理されます。 jq、コマンドライン JSON プロセッサ。次を使用して HTTP/2 トラフィックをフィルタリングします。 jq '.[] | select(.layers.http2)'。フィルタリングされたトラフィックは保存され、次を使用して表示されます。 cat whatsapp_filtered.json、WhatsApp Web 通信の詳細なビューを提供します。これらのスクリプトを組み合わせると、暗号化されたトラフィックを分析するための堅牢な方法が提供され、WhatsApp Web の初期化中に交換されるパラメータを明らかにするのに役立ちます。

WhatsApp Web トラフィックの傍受と分析

Python と mitmproxy を使用したトラフィック分析

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

分析のための WhatsApp Web トラフィックの復号化

Wireshark と Tshark を使用したネットワークトラフィックの復号化

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

WhatsApp Web トラフィック分析の高度なテクニックを探る

WhatsApp Web トラフィックを分析する際の重要な側面の 1 つは、使用されている暗号化プロトコルを理解することです。 WhatsApp はエンドツーエンドの暗号化を採用しています。つまり、メッセージは送信者のデバイスで暗号化され、受信者のデバイスでのみ復号化されます。このため、トラフィックの傍受と復号化は困難な作業になります。ただし、キー交換メカニズムと公開キーと秘密キーの役割を理解すると、潜在的な脆弱性と合法的傍受の方法についての洞察が得られます。さらに、デバイスとサーバー間の最初のハンドシェイクを分析すると、暗号化プロセスと交換される可能性のあるメタデータに関する貴重な情報が明らかになる可能性があります。

もう 1 つのアプローチは、ディープパケットインスペクション (DPI) を実行できる特殊なハードウェアまたはソフトウェアを使用することです。 DPI ツールは、ネットワークを通過するデータパケットの内容を分析できます。これは、トラフィックが暗号化されている場合でも、特定のアプリケーションやプロトコルを識別するのに役立ちます。たとえば、Wireshark などのツールを WhatsApp トラフィック用に設計されたプラグインと組み合わせて使用すると、通信パターンを分析し、交換されるメッセージの種類を特定するのに役立ちます。さらに、WhatsApp Web で使用される基盤となる WebSocket プロトコルを理解すると、このプロトコルがブラウザと WhatsApp サーバー間のリアルタイム通信で重要な役割を果たすため、さらなる洞察が得られます。

WhatsApp Web トラフィックの分析に関するよくある質問

WhatsApp Web トラフィックをキャプチャするのに最適なツールは何ですか?
のようなツール mitmproxy そして tshark ネットワークトラフィックのキャプチャと分析によく使用されます。
WhatsApp は Web トラフィックのセキュリティをどのように確保していますか?
WhatsApp はエンドツーエンドの暗号化を使用し、メッセージが送信者のデバイスで暗号化され、受信者のデバイスでのみ復号化されるようにします。
トラフィックが暗号化されている場合、そのトラフィックを復号化できますか?
エンドツーエンド暗号化を使用するため、復号化は非常に困難ですが、キー交換メカニズムを理解することで洞察が得られます。
ディープパケットインスペクションとは何ですか?
ディープパケットインスペクション (DPI) は、ネットワーク上で送信されるデータを詳細に検査してプロトコルやアプリケーションを識別するデータ処理形式です。
WebSocket は WhatsApp Web 通信にどのように貢献しますか?
WebSocket はブラウザと WhatsApp サーバー間のリアルタイム通信を促進し、メッセージ配信において重要な役割を果たします。
WhatsApp トラフィックを傍受する際に法的考慮事項はありますか?
はい、トラフィックの傍受は法的な影響を与える可能性があるため、現地の法律や規制に従って行う必要があります。
公開キーと秘密キーは何らかの方法で悪用される可能性がありますか?
公開キーと秘密キーの悪用は非常に複雑であり、重大な計算リソースや脆弱性がなければ通常は非現実的です。
この目的で mitmproxy を使用する場合の制限は何ですか?
mitmproxy はトラフィックをキャプチャできますが、WhatsApp の強力な暗号化方式により復号化できない場合があります。
メタデータはトラフィック分析にどのように役立ちますか?
メタデータは、メッセージの内容を明らかにすることなく、メッセージのタイムスタンプやユーザーの対話などの通信パターンに関する洞察を提供します。

WhatsApp Web トラフィック分析に関する最終的な考え

WhatsApp Web の初期化中のパラメータの交換を理解するには、強力な暗号化が使用されているため、高度なツールと技術が必要です。 tpacketcapture や Burp Suite などの従来の方法では不十分な場合もありますが、ディープパケットインスペクションと特殊なソフトウェアを活用することで、より優れた洞察を得ることができます。困難ではありますが、これらの方法は暗号化されたトラフィックを解読するのに役立ち、QR コードのスキャンプロセス中に Android デバイスとブラウザーの間で交換されるデータをより明確に把握できます。