Анализа размене података током иницијализације ВхатсАпп веба

Анализа размене података током иницијализације ВхатсАпп веба
Анализа размене података током иницијализације ВхатсАпп веба
Gabriel Martim
субота, 20. јул 2024. 14:09:21

Разумевање ВхатсАпп веб иницијализације

У дигиталном добу, разумевање комуникације између уређаја је кључно, посебно за апликације као што је ВхатсАпп Веб. Када се иницијализује ВхатсАпп Веб скенирањем КР кода, различити параметри се размењују између Андроид уређаја и претраживача. Овај процес укључује шифровани саобраћај који може бити изазован за анализу.

Упркос коришћењу алата као што су тпацкетцаптуре и Бурп Суите са својим сертификатом инсталираним на уређају, саобраћај остаје шифрован, што поставља питања о протоколима које користи ВхатсАпп. Овај чланак се бави механизмима који стоје иза овог процеса и истражује потенцијалне методе за анализу размењених параметара током ВхатсАпп веб сесија.

Цомманд Опис
mitmproxy.http.HTTPFlow Представља један ХТТП ток у митмпроки, хватајући захтев и одговор.
ctx.log.info() Евидентира информације на митмпроки конзоли за потребе отклањања грешака.
tshark -i wlan0 -w Покреће снимање мрежног саобраћаја на интерфејсу влан0 и уписује га у датотеку.
tshark -r -Y -T json Чита датотеку снимања, примењује филтер за приказ и даје резултат у ЈСОН формату.
jq '.[] | select(.layers.http2)' Обрађује ЈСОН излаз да филтрира уносе који садрже ХТТП/2 саобраћај.
cat whatsapp_filtered.json Приказује садржај филтриране ЈСОН датотеке која садржи ВхатсАпп веб саобраћај.

Детаљно објашњење скрипти за анализу саобраћаја

Први сценарио користи mitmproxy, моћан алат за пресретање ХТТП и ХТТПС саобраћаја. У овој скрипти дефинишемо класу WhatsAppWebAnalyzer који обухвата захтеве упућене web.whatsapp.com. Тхе request метода се позива за сваки ХТТП захтев који пролази кроз прокси. Проверавањем да ли је захтев упућен на web.whatsapp.com, повећавамо бројач и евидентирамо УРЛ захтева користећи ctx.log.info. Ово нам омогућава да надгледамо и евидентирамо сву комуникацију између Андроид уређаја и ВхатсАпп Веба, пружајући увид у податке који се размењују током процеса скенирања КР кода. Тхе addons листа региструје наш прилагођени додатак са митмпроки, омогућавајући скрипту да се беспрекорно покреће када се митмпроки покрене.

Друга скрипта користи tshark, верзија Виресхарка са командне линије, за снимање и анализу мрежног саобраћаја. Команда tshark -i wlan0 -w иницира снимање на бежичном интерфејсу и уписује излаз у датотеку. Ова датотека се затим чита и филтрира да прикаже само саобраћај који се односи на ИП адресу Андроид уређаја, користећи tshark -r -Y -T json. ЈСОН излаз се даље обрађује са jq, ЈСОН процесор командне линије, за филтрирање ХТТП/2 саобраћаја коришћењем jq '.[] | select(.layers.http2)'. Филтрирани саобраћај се чува и приказује помоћу cat whatsapp_filtered.json, пружајући детаљан приказ ВхатсАпп веб комуникације. Ове скрипте, комбиноване, нуде робустан метод за анализу шифрованог саобраћаја, помажући да се открију параметри размењени током иницијализације ВхатсАпп Веб-а.

Пресретање и анализа ВхатсАпп веб саобраћаја

Коришћење Питхон-а и митмпроки-а за анализу саобраћаја

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

Дешифровање ВхатсАпп веб саобраћаја за анализу

Коришћење Виресхарка и Тсхарк-а за дешифровање мрежног саобраћаја

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

Истраживање напредних техника за анализу веб саобраћаја ВхатсАпп

Један од критичних аспеката анализе ВхатсАпп веб саобраћаја је разумевање коришћених протокола за шифровање. ВхатсАпп користи енд-то-енд енкрипцију, што значи да су поруке шифроване на уређају пошиљаоца и само дешифроване на уређају примаоца. Ово чини пресретање и дешифровање саобраћаја изазовним задатком. Међутим, разумевање механизма размене кључева и улоге јавних и приватних кључева може пружити увид у потенцијалне рањивости и методе законитог пресретања. Поред тога, анализа почетног руковања између уређаја и сервера може открити вредне информације о процесу шифровања и свим метаподацима који се могу разменити.

Други приступ је коришћење специјализованог хардвера или софтвера који може да изврши дубоку инспекцију пакета (ДПИ). ДПИ алати могу анализирати садржај пакета података док они пролазе кроз мрежу, што је корисно за идентификацију специфичних апликација или протокола чак и ако је саобраћај шифрован. На пример, коришћење алата као што је Виресхарк у комбинацији са додацима дизајнираним за ВхатсАпп саобраћај може помоћи да се сецирају комуникацијски обрасци и идентификују врсте порука које се размењују. Штавише, разумевање основног ВебСоцкет протокола који користи ВхатсАпп Веб може понудити додатне увиде, пошто овај протокол игра значајну улогу у комуникацији у реалном времену између претраживача и ВхатсАпп сервера.

Уобичајена питања о анализи ВхатсАпп веб саобраћаја

  1. Који алати су најбољи за снимање ВхатсАпп веб саобраћаја?
  2. Алати попут mitmproxy и tshark се обично користе за хватање и анализу мрежног саобраћаја.
  3. Како ВхатсАпп обезбеђује безбедност свог веб саобраћаја?
  4. ВхатсАпп користи енд-то-енд енкрипцију, осигуравајући да су поруке шифроване на уређају пошиљаоца и само дешифроване на уређају примаоца.
  5. Може ли се саобраћај дешифровати ако је шифрован?
  6. Дешифровање је изузетно изазовно због употребе енд-то-енд енкрипције, али разумевање механизама размене кључева може пружити увид.
  7. Шта је дубока инспекција пакета?
  8. Дубока инспекција пакета (ДПИ) је облик обраде података који детаљно проверава податке који се шаљу преко мреже да би се идентификовали протоколи или апликације.
  9. Како ВебСоцкетс доприносе ВхатсАпп веб комуникацији?
  10. ВебСоцкетс олакшава комуникацију у реалном времену између претраживача и ВхатсАпп сервера, играјући кључну улогу у испоруци порука.
  11. Постоје ли правни аспекти када се пресретне ВхатсАпп саобраћај?
  12. Да, пресретање саобраћаја може имати правне импликације и требало би да се врши у складу са локалним законима и прописима.
  13. Да ли се јавни и приватни кључеви могу на било који начин искоришћавати?
  14. Искоришћавање јавних и приватних кључева је веома сложено и обично непрактично без значајних рачунарских ресурса или рањивости.
  15. Која су ограничења коришћења митмпроки-ја у ове сврхе?
  16. митмпроки може да ухвати саобраћај, али га можда неће дешифровати због ВхатсАпп-ових робусних метода шифровања.
  17. Како метаподаци могу бити корисни у анализи саобраћаја?
  18. Метаподаци могу пружити увид у комуникацијске обрасце, као што су временске ознаке порука и интеракције корисника, без откривања садржаја поруке.

Завршна размишљања о анализи веб саобраћаја ВхатсАпп

Разумевање размене параметара током иницијализације ВхатсАпп Веб-а захтева напредне алате и технике због снажног примењеног шифровања. Иако традиционалне методе као што су тпацкетцаптуре и Бурп Суите могу бити недостатне, коришћење дубинске инспекције пакета и специјализованог софтвера може понудити бољи увид. Иако су изазовне, ове методе могу помоћи у дешифровању шифрованог саобраћаја, пружајући јаснију слику о подацима који се размењују између Андроид уређаја и претраживача током процеса скенирања КР кода.