Analizowanie wymiany danych podczas inicjalizacji sieci WhatsApp

Analizowanie wymiany danych podczas inicjalizacji sieci WhatsApp
Analizowanie wymiany danych podczas inicjalizacji sieci WhatsApp
Gabriel Martim
Sobota, 20 lipca 2024 14:00:09

Zrozumienie inicjalizacji sieci WhatsApp

W epoce cyfrowej zrozumienie komunikacji między urządzeniami ma kluczowe znaczenie, zwłaszcza w przypadku aplikacji takich jak WhatsApp Web. Podczas inicjowania aplikacji WhatsApp Web poprzez zeskanowanie kodu QR następuje wymiana różnych parametrów pomiędzy urządzeniem z systemem Android a przeglądarką. Proces ten obejmuje zaszyfrowany ruch, którego analiza może być trudna.

Pomimo korzystania z narzędzi takich jak tpacketcapture i Burp Suite z zainstalowanym na urządzeniu certyfikatem, ruch pozostaje szyfrowany, co rodzi pytania dotyczące protokołów używanych przez WhatsApp. W tym artykule zagłębiamy się w mechanizmy stojące za tym procesem i badamy potencjalne metody analizy wymienianych parametrów podczas sesji WhatsApp Web.

Komenda Opis
mitmproxy.http.HTTPFlow Reprezentuje pojedynczy przepływ HTTP w mitmproxy, przechwytujący żądanie i odpowiedź.
ctx.log.info() Rejestruje informacje w konsoli mitmproxy na potrzeby debugowania.
tshark -i wlan0 -w Rozpoczyna przechwytywanie ruchu sieciowego na interfejsie wlan0 i zapisuje go do pliku.
tshark -r -Y -T json Odczytuje plik przechwytywania, stosuje filtr wyświetlania i wysyła wynik w formacie JSON.
jq '.[] | select(.layers.http2)' Przetwarza dane wyjściowe JSON w celu filtrowania wpisów zawierających ruch HTTP/2.
cat whatsapp_filtered.json Wyświetla zawartość przefiltrowanego pliku JSON zawierającego ruch sieciowy WhatsApp.

Szczegółowe wyjaśnienie skryptów analizy ruchu

Pierwszy skrypt wykorzystuje mitmproxy, potężne narzędzie do przechwytywania ruchu HTTP i HTTPS. W tym skrypcie definiujemy klasę WhatsAppWebAnalyzer który przechwytuje żądania kierowane do web.whatsapp.com. The request Metoda jest wywoływana dla każdego żądania HTTP przechodzącego przez serwer proxy. Sprawdzając, czy żądanie zostało skierowane do web.whatsapp.com, zwiększamy licznik i rejestrujemy adres URL żądania za pomocą ctx.log.info. Dzięki temu możemy monitorować i rejestrować całą komunikację pomiędzy urządzeniem z systemem Android a siecią WhatsApp, zapewniając wgląd w dane wymieniane podczas procesu skanowania kodu QR. The addons list rejestruje nasz niestandardowy dodatek w mitmproxy, umożliwiając płynne działanie skryptu po uruchomieniu mitmproxy.

Drugi skrypt wykorzystuje tshark, wersja Wireshark działająca z wiersza poleceń, służąca do przechwytywania i analizowania ruchu sieciowego. Komenda tshark -i wlan0 -w inicjuje przechwytywanie w interfejsie bezprzewodowym i zapisuje dane wyjściowe do pliku. Plik ten jest następnie odczytywany i filtrowany w celu wyświetlenia wyłącznie ruchu związanego z adresem IP urządzenia z systemem Android tshark -r -Y -T json. Dane wyjściowe JSON są dalej przetwarzane za pomocą jq, procesor JSON wiersza polecenia, do filtrowania ruchu HTTP/2 za pomocą jq '.[] | select(.layers.http2)'. Przefiltrowany ruch jest zapisywany i wyświetlany za pomocą cat whatsapp_filtered.json, zapewniając szczegółowy widok komunikacji internetowej WhatsApp. Łącznie te skrypty oferują solidną metodę analizy zaszyfrowanego ruchu, pomagając odkryć parametry wymieniane podczas inicjalizacji WhatsApp Web.

Przechwytywanie i analizowanie ruchu internetowego WhatsApp

Używanie Pythona i mitmproxy do analizy ruchu

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

Odszyfrowywanie ruchu internetowego WhatsApp do analizy

Używanie Wireshark i Tshark do deszyfrowania ruchu sieciowego

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

Odkrywanie zaawansowanych technik analizy ruchu internetowego w WhatsApp

Jednym z kluczowych aspektów analizy ruchu internetowego w WhatsApp jest zrozumienie używanych protokołów szyfrowania. WhatsApp stosuje kompleksowe szyfrowanie, co oznacza, że ​​wiadomości są szyfrowane na urządzeniu nadawcy i odszyfrowywane dopiero na urządzeniu odbiorcy. To sprawia, że ​​przechwytywanie i deszyfrowanie ruchu jest trudnym zadaniem. Jednakże zrozumienie mechanizmu wymiany kluczy oraz roli kluczy publicznych i prywatnych może zapewnić wgląd w potencjalne luki w zabezpieczeniach i metody zgodnego z prawem przechwytywania. Ponadto analiza początkowego uzgadniania między urządzeniem a serwerem może ujawnić cenne informacje na temat procesu szyfrowania i wszelkich metadanych, które mogą być wymieniane.

Innym podejściem jest użycie specjalistycznego sprzętu lub oprogramowania, które może przeprowadzić głęboką inspekcję pakietów (DPI). Narzędzia DPI mogą analizować zawartość pakietów danych przechodzących przez sieć, co jest przydatne do identyfikowania określonych aplikacji lub protokołów, nawet jeśli ruch jest szyfrowany. Na przykład użycie narzędzi takich jak Wireshark w połączeniu z wtyczkami przeznaczonymi dla ruchu WhatsApp może pomóc w analizie wzorców komunikacji i zidentyfikowaniu typów wymienianych wiadomości. Co więcej, zrozumienie podstawowego protokołu WebSocket używanego przez WhatsApp Web może dostarczyć dodatkowych informacji, ponieważ protokół ten odgrywa znaczącą rolę w komunikacji w czasie rzeczywistym między przeglądarką a serwerami WhatsApp.

Często zadawane pytania dotyczące analizowania ruchu internetowego w WhatsApp

  1. Jakie narzędzia są najlepsze do przechwytywania ruchu internetowego WhatsApp?
  2. Narzędzia takie jak mitmproxy I tshark są powszechnie używane do przechwytywania i analizowania ruchu sieciowego.
  3. W jaki sposób WhatsApp zapewnia bezpieczeństwo swojego ruchu internetowego?
  4. WhatsApp stosuje kompleksowe szyfrowanie, dzięki czemu wiadomości są szyfrowane na urządzeniu nadawcy i odszyfrowywane dopiero na urządzeniu odbiorcy.
  5. Czy ruch można odszyfrować, jeśli jest zaszyfrowany?
  6. Odszyfrowanie jest niezwykle trudne ze względu na zastosowanie szyfrowania typu end-to-end, ale zrozumienie mechanizmów wymiany kluczy może zapewnić wnikliwą wiedzę.
  7. Co to jest głęboka inspekcja pakietów?
  8. Głęboka inspekcja pakietów (DPI) to forma przetwarzania danych, która szczegółowo sprawdza dane przesyłane przez sieć w celu identyfikacji protokołów lub aplikacji.
  9. W jaki sposób WebSockets przyczyniają się do komunikacji internetowej WhatsApp?
  10. WebSockets ułatwiają komunikację w czasie rzeczywistym pomiędzy przeglądarką a serwerami WhatsApp, odgrywając kluczową rolę w dostarczaniu wiadomości.
  11. Czy przy przechwytywaniu ruchu WhatsApp obowiązują względy prawne?
  12. Tak, przechwytywanie ruchu może mieć konsekwencje prawne i powinno odbywać się zgodnie z lokalnymi przepisami i regulacjami.
  13. Czy klucze publiczne i prywatne można w jakikolwiek sposób wykorzystać?
  14. Wykorzystywanie kluczy publicznych i prywatnych jest bardzo złożone i zazwyczaj niepraktyczne bez znacznych zasobów obliczeniowych lub luk w zabezpieczeniach.
  15. Jakie są ograniczenia używania mitmproxy w tym celu?
  16. mitmproxy może przechwytywać ruch, ale może go nie odszyfrować ze względu na niezawodne metody szyfrowania WhatsApp.
  17. Jak metadane mogą być przydatne w analizie ruchu?
  18. Metadane mogą zapewnić wgląd we wzorce komunikacji, takie jak znaczniki czasu wiadomości i interakcje użytkownika, bez ujawniania treści wiadomości.

Końcowe przemyślenia na temat analizy ruchu internetowego w WhatsApp

Zrozumienie wymiany parametrów podczas inicjalizacji WhatsApp Web wymaga zaawansowanych narzędzi i technik ze względu na zastosowane silne szyfrowanie. Chociaż tradycyjne metody, takie jak tpacketcapture i Burp Suite, mogą okazać się niewystarczające, wykorzystanie głębokiej inspekcji pakietów i specjalistycznego oprogramowania może zapewnić lepszy wgląd. Chociaż metody te są trudne, mogą pomóc w rozszyfrowaniu zaszyfrowanego ruchu, zapewniając wyraźniejszy obraz danych wymienianych między urządzeniem z Androidem a przeglądarką podczas procesu skanowania kodu QR.