Analyserer datautveksling under WhatsApp-nettinitialisering

Analyserer datautveksling under WhatsApp-nettinitialisering
Analyserer datautveksling under WhatsApp-nettinitialisering
Gabriel Martim
Lørdag 20. juli 2024 13:58:13

Forstå WhatsApp-nettinitialisering

I den digitale tidsalderen er det avgjørende å forstå kommunikasjonen mellom enheter, spesielt for applikasjoner som WhatsApp Web. Når du initialiserer WhatsApp Web ved å skanne QR-koden, utveksles ulike parametere mellom Android-enheten og nettleseren. Denne prosessen involverer kryptert trafikk som kan være utfordrende å analysere.

Til tross for bruk av verktøy som tpacketcapture og Burp Suite med sertifikatet installert på enheten, forblir trafikken kryptert, noe som reiser spørsmål om protokollene som brukes av WhatsApp. Denne artikkelen fordyper mekanismene bak denne prosessen og utforsker potensielle metoder for å analysere de utvekslede parameterne under WhatsApp Web-økter.

Kommando Beskrivelse
mitmproxy.http.HTTPFlow Representerer en enkelt HTTP-flyt i mitmproxy, som fanger opp forespørselen og svaret.
ctx.log.info() Logger informasjon til mitmproxy-konsollen for feilsøkingsformål.
tshark -i wlan0 -w Starter en nettverkstrafikkfangst på grensesnitt wlan0 og skriver den til en fil.
tshark -r -Y -T json Leser en fangstfil, bruker et visningsfilter og sender ut resultatet i JSON-format.
jq '.[] | select(.layers.http2)' Behandler JSON-utdata for å filtrere for oppføringer som inneholder HTTP/2-trafikk.
cat whatsapp_filtered.json Viser innholdet i den filtrerte JSON-filen som inneholder WhatsApp-netttrafikk.

Detaljert forklaring av trafikkanalyseskriptene

Det første manuset utnytter mitmproxy, et kraftig verktøy for å avskjære HTTP- og HTTPS-trafikk. I dette skriptet definerer vi en klasse WhatsAppWebAnalyzer som fanger opp forespørslene til web.whatsapp.com. De request metoden påkalles for hver HTTP-forespørsel som går gjennom proxyen. Ved å sjekke om forespørselen er gjort til web.whatsapp.com, øker vi en teller og logger forespørsels-URLen ved hjelp av ctx.log.info. Dette lar oss overvåke og logge all kommunikasjon mellom Android-enheten og WhatsApp Web, og gir innsikt i dataene som utveksles under QR-kodeskanningsprosessen. De addons list registrerer vårt tilpassede tillegg med mitmproxy, slik at skriptet kan kjøres sømløst når mitmproxy startes.

Det andre skriptet bruker tshark, kommandolinjeversjonen av Wireshark, for å fange opp og analysere nettverkstrafikk. Kommandoen tshark -i wlan0 -w starter en registrering på det trådløse grensesnittet og skriver utdataene til en fil. Denne filen blir deretter lest og filtrert for å vise bare trafikken relatert til Android-enhetens IP-adresse, ved hjelp av tshark -r -Y -T json. JSON-utgangen behandles videre med jq, en kommandolinje JSON-prosessor, for å filtrere for HTTP/2-trafikk ved å bruke jq '.[] | select(.layers.http2)'. Den filtrerte trafikken lagres og vises ved hjelp av cat whatsapp_filtered.json, som gir en detaljert oversikt over WhatsApp-nettkommunikasjonen. Disse skriptene, kombinert, tilbyr en robust metode for å analysere kryptert trafikk, og hjelper til med å avdekke parametrene som utveksles under WhatsApp Web initialisering.

Avskjære og analysere WhatsApp-netttrafikk

Bruker Python og mitmproxy for trafikkanalyse

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

Dekryptering av WhatsApp-netttrafikk for analyse

Bruk av Wireshark og Tshark for dekryptering av nettverkstrafikk

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

Utforsker avanserte teknikker for WhatsApp-netttrafikkanalyse

Et kritisk aspekt ved å analysere WhatsApp-netttrafikk er å forstå krypteringsprotokollene som brukes. WhatsApp bruker ende-til-ende-kryptering, noe som betyr at meldinger er kryptert på avsenderens enhet og kun dekryptert på mottakerens enhet. Dette gjør det å avskjære og dekryptere trafikken til en utfordrende oppgave. Forståelse av nøkkelutvekslingsmekanismen og rollen til offentlige og private nøkler kan imidlertid gi innsikt i potensielle sårbarheter og metoder for lovlig avlytting. I tillegg kan analyse av det første håndtrykket mellom enheten og serveren avsløre verdifull informasjon om krypteringsprosessen og eventuelle metadata som kan utveksles.

En annen tilnærming er å bruke spesialisert maskinvare eller programvare som kan utføre dyp pakkeinspeksjon (DPI). DPI-verktøy kan analysere innholdet i datapakker når de passerer gjennom et nettverk, noe som er nyttig for å identifisere spesifikke applikasjoner eller protokoller selv om trafikken er kryptert. For eksempel kan bruk av verktøy som Wireshark i kombinasjon med plugins designet for WhatsApp-trafikk bidra til å dissekere kommunikasjonsmønstrene og identifisere typene meldinger som utveksles. Videre kan forståelse av den underliggende WebSocket-protokollen som brukes av WhatsApp Web tilby ytterligere innsikt, siden denne protokollen spiller en betydelig rolle i sanntidskommunikasjon mellom nettleseren og WhatsApp-serverne.

Vanlige spørsmål om analyse av WhatsApp-netttrafikk

  1. Hvilke verktøy er best for å fange WhatsApp-netttrafikk?
  2. Verktøy som mitmproxy og tshark brukes ofte til å fange opp og analysere nettverkstrafikk.
  3. Hvordan sikrer WhatsApp sikkerheten til nettrafikken?
  4. WhatsApp bruker ende-til-ende-kryptering, og sikrer at meldinger er kryptert på avsenderens enhet og kun dekryptert på mottakerens enhet.
  5. Kan trafikk dekrypteres hvis den er kryptert?
  6. Dekryptering er ekstremt utfordrende på grunn av bruken av ende-til-ende-kryptering, men å forstå nøkkelutvekslingsmekanismer kan gi innsikt.
  7. Hva er dyppakkeinspeksjon?
  8. Deep packet inspection (DPI) er en form for databehandling som inspiserer i detalj dataene som sendes over et nettverk for å identifisere protokoller eller applikasjoner.
  9. Hvordan bidrar WebSockets til WhatsApp-nettkommunikasjon?
  10. WebSockets forenkler sanntidskommunikasjon mellom nettleseren og WhatsApp-servere, og spiller en avgjørende rolle i meldingslevering.
  11. Er det juridiske hensyn når du avskjærer WhatsApp-trafikk?
  12. Ja, avskjæring av trafikk kan ha juridiske implikasjoner og bør gjøres i samsvar med lokale lover og forskrifter.
  13. Kan offentlige og private nøkler utnyttes på noen måte?
  14. Å utnytte offentlige og private nøkler er svært komplekst og vanligvis upraktisk uten betydelige beregningsressurser eller sårbarheter.
  15. Hva er begrensningene ved å bruke mitmproxy til dette formålet?
  16. mitmproxy kan fange opp trafikk, men kan ikke dekryptere den på grunn av WhatsApps robuste krypteringsmetoder.
  17. Hvordan kan metadata være nyttig i trafikkanalyse?
  18. Metadata kan gi innsikt i kommunikasjonsmønstrene, for eksempel meldingstidsstempler og brukerinteraksjoner, uten å avsløre meldingsinnhold.

Siste tanker om WhatsApp-netttrafikkanalyse

Å forstå utvekslingen av parametere under WhatsApp Web-initialisering krever avanserte verktøy og teknikker på grunn av den sterke krypteringen som brukes. Mens tradisjonelle metoder som tpacketcapture og Burp Suite kan komme til kort, kan utnyttelse av dyp pakkeinspeksjon og spesialisert programvare gi bedre innsikt. Selv om de er utfordrende, kan disse metodene hjelpe til med å tyde den krypterte trafikken, og gi et klarere bilde av dataene som utveksles mellom Android-enheten og nettleseren under QR-kodeskanningsprosessen.