Analýza výmeny údajov počas inicializácie webu WhatsApp

Analýza výmeny údajov počas inicializácie webu WhatsApp
Analýza výmeny údajov počas inicializácie webu WhatsApp
Gabriel Martim
Sobota 20. júla 2024, 14:11:11

Pochopenie inicializácie webu WhatsApp

V digitálnom veku je pochopenie komunikácie medzi zariadeniami kľúčové, najmä pre aplikácie ako WhatsApp Web. Pri inicializácii WhatsApp Web skenovaním QR kódu sa medzi zariadením Android a prehliadačom vymieňajú rôzne parametre. Tento proces zahŕňa šifrovanú prevádzku, ktorej analýza môže byť náročná.

Napriek používaniu nástrojov ako tpacketcapture a Burp Suite s certifikátom nainštalovaným v zariadení zostáva prenos šifrovaný, čo vyvoláva otázky o protokoloch používaných WhatsApp. Tento článok sa ponorí do mechanizmov tohto procesu a skúma potenciálne metódy analýzy vymenených parametrov počas relácií WhatsApp Web.

Príkaz Popis
mitmproxy.http.HTTPFlow Predstavuje jeden tok HTTP v mitmproxy, ktorý zachytáva požiadavku a odpoveď.
ctx.log.info() Zaznamenáva informácie do konzoly mitmproxy na účely ladenia.
tshark -i wlan0 -w Spustí zachytávanie sieťovej prevádzky na rozhraní wlan0 a zapíše ho do súboru.
tshark -r -Y -T json Prečíta zachytený súbor, použije filter zobrazenia a výsledok vypíše vo formáte JSON.
jq '.[] | select(.layers.http2)' Spracuje výstup JSON na filtrovanie záznamov obsahujúcich prenos HTTP/2.
cat whatsapp_filtered.json Zobrazuje obsah filtrovaného súboru JSON obsahujúceho webovú návštevnosť WhatsApp.

Podrobné vysvetlenie skriptov analýzy návštevnosti

Prvý skript využíva mitmproxy, výkonný nástroj na zachytávanie návštevnosti HTTP a HTTPS. V tomto skripte definujeme triedu WhatsAppWebAnalyzer ktorý zachytáva požiadavky predložené web.whatsapp.com. The request metóda je vyvolaná pre každú požiadavku HTTP prechádzajúcu cez proxy. Kontrolou, či je žiadosť podaná web.whatsapp.com, zvýšime počítadlo a zaznamenáme adresu URL požiadavky pomocou ctx.log.info. To nám umožňuje monitorovať a zaznamenávať všetku komunikáciu medzi zariadením so systémom Android a webom WhatsApp a poskytuje prehľad o údajoch vymieňaných počas procesu skenovania QR kódu. The addons list registruje náš vlastný doplnok s mitmproxy, čo umožňuje bezproblémové spustenie skriptu pri spustení mitmproxy.

Druhý skript využíva tshark, verzia Wireshark s príkazovým riadkom, na zachytávanie a analýzu sieťovej prevádzky. Príkaz tshark -i wlan0 -w spustí zachytávanie na bezdrôtovom rozhraní a zapíše výstup do súboru. Tento súbor sa potom načíta a filtruje, aby sa zobrazila iba prevádzka súvisiaca s IP adresou zariadenia Android pomocou tshark -r -Y -T json. Výstup JSON sa ďalej spracováva s jq, procesor JSON príkazového riadka na filtrovanie návštevnosti HTTP/2 pomocou jq '.[] | select(.layers.http2)'. Filtrovaná prevádzka sa uloží a zobrazí pomocou cat whatsapp_filtered.json, ktorý poskytuje podrobný pohľad na komunikáciu WhatsApp Web. Kombinácia týchto skriptov ponúka robustnú metódu na analýzu šifrovanej prevádzky a pomáha odhaliť parametre vymieňané počas inicializácie WhatsApp Web.

Zachytenie a analýza webovej prevádzky WhatsApp

Použitie Pythonu a mitmproxy na analýzu návštevnosti

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

Dešifrovanie webovej návštevnosti WhatsApp na analýzu

Použitie Wireshark a Tshark na dešifrovanie sieťovej prevádzky

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

Skúmanie pokročilých techník pre analýzu návštevnosti webu WhatsApp

Jedným z kritických aspektov analýzy návštevnosti WhatsApp Web je pochopenie používaných šifrovacích protokolov. WhatsApp využíva end-to-end šifrovanie, čo znamená, že správy sú šifrované na zariadení odosielateľa a dešifrované iba na zariadení príjemcu. Vďaka tomu je zachytenie a dešifrovanie prevádzky náročná úloha. Pochopenie mechanizmu výmeny kľúčov a úlohy verejných a súkromných kľúčov však môže poskytnúť prehľad o potenciálnych zraniteľnostiach a metódach zákonného odpočúvania. Okrem toho analýza počiatočného nadviazania spojenia medzi zariadením a serverom môže odhaliť cenné informácie o procese šifrovania a akýchkoľvek metaúdajoch, ktoré by sa mohli vymieňať.

Ďalším prístupom je použitie špecializovaného hardvéru alebo softvéru, ktorý dokáže vykonávať hĺbkovú kontrolu paketov (DPI). Nástroje DPI dokážu analyzovať obsah dátových paketov pri ich prechode cez sieť, čo je užitočné na identifikáciu konkrétnych aplikácií alebo protokolov, aj keď je prenos šifrovaný. Napríklad používanie nástrojov ako Wireshark v kombinácii s doplnkami navrhnutými pre prevádzku WhatsApp môže pomôcť rozobrať komunikačné vzorce a identifikovať typy vymieňaných správ. Okrem toho pochopenie základného protokolu WebSocket, ktorý používa WhatsApp Web, môže poskytnúť ďalšie informácie, pretože tento protokol hrá významnú úlohu v komunikácii medzi prehliadačom a servermi WhatsApp v reálnom čase.

Bežné otázky o analýze návštevnosti webu WhatsApp

  1. Aké nástroje sú najlepšie na zachytenie návštevnosti webu WhatsApp?
  2. Nástroje ako mitmproxy a tshark sa bežne používajú na zachytávanie a analýzu sieťovej prevádzky.
  3. Ako WhatsApp zaisťuje bezpečnosť svojej webovej prevádzky?
  4. WhatsApp používa end-to-end šifrovanie, ktoré zaisťuje, že správy sú šifrované na zariadení odosielateľa a dešifrované iba na zariadení príjemcu.
  5. Dá sa prenos dešifrovať, ak je zašifrovaný?
  6. Dešifrovanie je extrémne náročné kvôli použitiu end-to-end šifrovania, ale pochopenie mechanizmov výmeny kľúčov môže poskytnúť prehľad.
  7. Čo je hĺbková kontrola paketov?
  8. Hlboká kontrola paketov (DPI) je forma spracovania údajov, ktorá podrobne kontroluje údaje odosielané cez sieť s cieľom identifikovať protokoly alebo aplikácie.
  9. Ako WebSockets prispievajú k webovej komunikácii WhatsApp?
  10. WebSockets uľahčujú komunikáciu medzi prehliadačom a servermi WhatsApp v reálnom čase a zohrávajú kľúčovú úlohu pri doručovaní správ.
  11. Existujú právne aspekty pri zachytávaní prevádzky WhatsApp?
  12. Áno, zachytenie premávky môže mať právne dôsledky a malo by sa vykonávať v súlade s miestnymi zákonmi a predpismi.
  13. Môžu byť verejné a súkromné ​​kľúče nejakým spôsobom zneužité?
  14. Využitie verejných a súkromných kľúčov je veľmi zložité a zvyčajne nepraktické bez významných výpočtových zdrojov alebo zraniteľností.
  15. Aké sú obmedzenia používania mitmproxy na tento účel?
  16. mitmproxy dokáže zachytiť prenos, ale nemusí ho dešifrovať kvôli robustným metódam šifrovania WhatsApp.
  17. Ako môžu byť metadáta užitočné pri analýze návštevnosti?
  18. Metadáta môžu poskytnúť prehľad o komunikačných vzorcoch, ako sú časové pečiatky správ a interakcie používateľov, bez odhalenia obsahu správy.

Záverečné myšlienky o analýze návštevnosti webu WhatsApp

Pochopenie výmeny parametrov počas inicializácie WhatsApp Web vyžaduje pokročilé nástroje a techniky kvôli použitému silnému šifrovaniu. Zatiaľ čo tradičné metódy ako tpacketcapture a Burp Suite môžu zaostať, využitie hĺbkovej kontroly paketov a špecializovaného softvéru môže poskytnúť lepší prehľad. Aj keď sú tieto metódy náročné, môžu pomôcť rozlúštiť šifrovaný prenos a poskytnúť jasnejší obraz o údajoch vymieňaných medzi zariadením so systémom Android a prehliadačom počas procesu skenovania kódu QR.