Datu apmaiņas analīze WhatsApp tīmekļa inicializācijas laikā

Datu apmaiņas analīze WhatsApp tīmekļa inicializācijas laikā
Datu apmaiņas analīze WhatsApp tīmekļa inicializācijas laikā
Gabriel Martim
Sestdiena, 2024. gada 20. jūlijs 13:48:23

WhatsApp tīmekļa inicializācijas izpratne

Digitālajā laikmetā ļoti svarīgi ir izprast saziņu starp ierīcēm, īpaši tādām lietojumprogrammām kā WhatsApp Web. Inicializējot WhatsApp Web, skenējot QR kodu, starp Android ierīci un pārlūkprogrammu notiek dažādu parametru apmaiņa. Šis process ietver šifrētu trafiku, kuru var būt grūti analizēt.

Lai gan tiek izmantoti tādi rīki kā tpacketcapture un Burp Suite ar ierīcē instalētu sertifikātu, trafika joprojām ir šifrēta, radot jautājumus par WhatsApp izmantotajiem protokoliem. Šajā rakstā ir apskatīti šī procesa mehānismi un izpētītas iespējamās metodes apmainīto parametru analīzei WhatsApp Web sesiju laikā.

Pavēli Apraksts
mitmproxy.http.HTTPFlow Apzīmē vienu HTTP plūsmu mitmproxy, tverot pieprasījumu un atbildi.
ctx.log.info() Atkļūdošanas nolūkos ieraksta informāciju mitmproxy konsolē.
tshark -i wlan0 -w Sāk tīkla trafika uztveršanu saskarnē wlan0 un ieraksta to failā.
tshark -r -Y -T json Nolasa tveršanas failu, lieto displeja filtru un izvada rezultātu JSON formātā.
jq '.[] | select(.layers.http2)' Apstrādā JSON izvadi, lai filtrētu ierakstus, kas satur HTTP/2 trafiku.
cat whatsapp_filtered.json Parāda filtrētā JSON faila saturu, kas satur WhatsApp Web trafiku.

Detalizēts satiksmes analīzes skriptu skaidrojums

Pirmais skripts sviras mitmproxy, spēcīgs rīks HTTP un HTTPS trafika pārtveršanai. Šajā skriptā mēs definējam klasi WhatsAppWebAnalyzer kas aptver pieprasījumus web.whatsapp.com. The request metode tiek izsaukta katram HTTP pieprasījumam, kas iet caur starpniekserveri. Pārbaudot, vai pieprasījums ir iesniegts web.whatsapp.com, mēs palielinām skaitītāju un reģistrējam pieprasījuma URL, izmantojot ctx.log.info. Tas ļauj mums pārraudzīt un reģistrēt visu saziņu starp Android ierīci un WhatsApp Web, sniedzot ieskatu datos, ar kuriem notiek QR koda skenēšanas procesa apmaiņa. The addons saraksts reģistrē mūsu pielāgoto papildinājumu ar mitmproxy, ļaujot skriptam darboties nevainojami, kad tiek startēts mitmproxy.

Otrais skripts izmanto tshark, Wireshark komandrindas versija, kas paredzēta tīkla trafika uztveršanai un analīzei. Komanda tshark -i wlan0 -w uzsāk uztveršanu bezvadu saskarnē un ieraksta izvadi failā. Pēc tam šis fails tiek lasīts un filtrēts, lai parādītu tikai trafiku, kas saistīta ar Android ierīces IP adresi, izmantojot tshark -r -Y -T json. JSON izvade tiek tālāk apstrādāta ar jq, komandrindas JSON procesors, lai filtrētu HTTP/2 trafiku, izmantojot jq '.[] | select(.layers.http2)'. Filtrētā trafika tiek saglabāta un parādīta, izmantojot cat whatsapp_filtered.json, sniedzot detalizētu WhatsApp Web saziņas skatījumu. Šie skripti kopā piedāvā stabilu metodi šifrētās trafika analīzei, palīdzot atklāt parametrus, ar kuriem apmainās WhatsApp Web inicializācijas laikā.

WhatsApp tīmekļa trafika pārtveršana un analīze

Python un mitmproxy izmantošana trafika analīzei

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

WhatsApp tīmekļa trafika atšifrēšana analīzei

Wireshark un Tshark izmantošana tīkla trafika atšifrēšanai

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

WhatsApp tīmekļa trafika analīzes uzlaboto metožu izpēte

Viens no svarīgākajiem WhatsApp Web trafika analīzes aspektiem ir izmantoto šifrēšanas protokolu izpratne. WhatsApp izmanto pilnīgu šifrēšanu, kas nozīmē, ka ziņojumi tiek šifrēti sūtītāja ierīcē un atšifrēti tikai adresāta ierīcē. Tas padara trafika pārtveršanu un atšifrēšanu par sarežģītu uzdevumu. Tomēr izpratne par atslēgu apmaiņas mehānismu un publisko un privāto atslēgu lomu var sniegt ieskatu par iespējamām ievainojamībām un likumīgas pārtveršanas metodēm. Turklāt, analizējot sākotnējo rokasspiedienu starp ierīci un serveri, var tikt atklāta vērtīga informācija par šifrēšanas procesu un jebkādiem metadatiem, ar kuriem varētu apmainīties.

Vēl viena pieeja ir izmantot specializētu aparatūru vai programmatūru, kas var veikt dziļu pakešu pārbaudi (DPI). DPI rīki var analizēt datu pakešu saturu, kad tās iet caur tīklu, un tas ir noderīgi, lai identificētu konkrētas lietojumprogrammas vai protokolus pat tad, ja trafiks ir šifrēts. Piemēram, tādu rīku kā Wireshark izmantošana kopā ar spraudņiem, kas paredzēti WhatsApp trafikam, var palīdzēt izdalīt saziņas modeļus un noteikt apmaināmo ziņojumu veidus. Turklāt WhatsApp Web izmantotā WebSocket protokola izpratne var sniegt papildu ieskatu, jo šim protokolam ir nozīmīga loma reāllaika saziņā starp pārlūkprogrammu un WhatsApp serveriem.

Bieži uzdotie jautājumi par WhatsApp tīmekļa trafika analīzi

  1. Kādi rīki ir vislabākie WhatsApp tīmekļa trafika uztveršanai?
  2. Tādi rīki kā mitmproxy un tshark parasti izmanto tīkla trafika uztveršanai un analīzei.
  3. Kā WhatsApp nodrošina tīmekļa trafika drošību?
  4. WhatsApp izmanto pilnīgu šifrēšanu, nodrošinot, ka ziņojumi tiek šifrēti sūtītāja ierīcē un atšifrēti tikai adresāta ierīcē.
  5. Vai satiksmi var atšifrēt, ja tā ir šifrēta?
  6. Atšifrēšana ir ārkārtīgi sarežģīta, jo tiek izmantota pilnīga šifrēšana, taču izpratne par atslēgu apmaiņas mehānismiem var sniegt ieskatu.
  7. Kas ir dziļa pakešu pārbaude?
  8. Dziļā pakešu pārbaude (DPI) ir datu apstrādes veids, kas detalizēti pārbauda tīklā nosūtītos datus, lai identificētu protokolus vai lietojumprogrammas.
  9. Kā WebSockets veicina WhatsApp tīmekļa saziņu?
  10. WebSockets atvieglo reāllaika saziņu starp pārlūkprogrammu un WhatsApp serveriem, spēlējot izšķirošu lomu ziņojumu piegādē.
  11. Vai ir juridiski apsvērumi, pārtverot WhatsApp trafiku?
  12. Jā, satiksmes pārtveršanai var būt juridiskas sekas, un tā ir jāveic saskaņā ar vietējiem likumiem un noteikumiem.
  13. Vai publiskās un privātās atslēgas var jebkādā veidā izmantot?
  14. Publisko un privāto atslēgu izmantošana ir ļoti sarežģīta un parasti nepraktiska bez ievērojamiem skaitļošanas resursiem vai ievainojamībām.
  15. Kādi ir mitmproxy izmantošanas ierobežojumi šim nolūkam?
  16. mitmproxy var uztvert trafiku, bet var to neatšifrēt WhatsApp robusto šifrēšanas metožu dēļ.
  17. Kā metadati var būt noderīgi trafika analīzē?
  18. Metadati var sniegt ieskatu saziņas modeļos, piemēram, ziņojumu laikspiedolos un lietotāju mijiedarbībā, neatklājot ziņojuma saturu.

Pēdējās domas par WhatsApp tīmekļa trafika analīzi

Lai izprastu parametru apmaiņu WhatsApp Web inicializācijas laikā, ir nepieciešami uzlaboti rīki un paņēmieni, jo tiek izmantota spēcīga šifrēšana. Lai gan tradicionālās metodes, piemēram, tpacketcapture un Burp Suite, var nedarboties, padziļinātas pakešu pārbaudes un specializētas programmatūras izmantošana var sniegt labāku ieskatu. Lai gan šīs metodes ir sarežģītas, tās var palīdzēt atšifrēt šifrēto trafiku, nodrošinot skaidrāku priekšstatu par datiem, kas tiek apmainīti starp Android ierīci un pārlūkprogrammu QR koda skenēšanas procesa laikā.