Analysera datautbyte under WhatsApp Web Initialization

Analysera datautbyte under WhatsApp Web Initialization
Analysera datautbyte under WhatsApp Web Initialization
Gabriel Martim
Lördag 20 juli 2024 14:14:43

Förstå WhatsApp Web Initialization

I den digitala tidsåldern är det avgörande att förstå kommunikationen mellan enheter, särskilt för applikationer som WhatsApp Web. När du initierar WhatsApp Web genom att skanna QR-koden, utbyts olika parametrar mellan Android-enheten och webbläsaren. Denna process involverar krypterad trafik som kan vara utmanande att analysera.

Trots att man använder verktyg som tpacketcapture och Burp Suite med sitt certifikat installerat på enheten, förblir trafiken krypterad, vilket väcker frågor om protokollen som används av WhatsApp. Den här artikeln fördjupar sig i mekanismerna bakom denna process och utforskar potentiella metoder för att analysera de utbytta parametrarna under WhatsApp Web-sessioner.

Kommando Beskrivning
mitmproxy.http.HTTPFlow Representerar ett enda HTTP-flöde i mitmproxy, som fångar begäran och svaret.
ctx.log.info() Loggar information till mitmproxy-konsolen för felsökningsändamål.
tshark -i wlan0 -w Startar en nätverkstrafikfångst på gränssnittet wlan0 och skriver den till en fil.
tshark -r -Y -T json Läser en fångstfil, tillämpar ett visningsfilter och matar ut resultatet i JSON-format.
jq '.[] | select(.layers.http2)' Bearbetar JSON-utdata för att filtrera för poster som innehåller HTTP/2-trafik.
cat whatsapp_filtered.json Visar innehållet i den filtrerade JSON-filen som innehåller WhatsApp-webbtrafik.

Detaljerad förklaring av trafikanalysskripten

Det första manuset utnyttjar mitmproxy, ett kraftfullt verktyg för att fånga upp HTTP- och HTTPS-trafik. I det här skriptet definierar vi en klass WhatsAppWebAnalyzer som fångar de förfrågningar som görs till web.whatsapp.com. De request metod anropas för varje HTTP-begäran som passerar genom proxyn. Genom att kontrollera om begäran görs till web.whatsapp.com, ökar vi en räknare och loggar webbadressen för begäran med hjälp av ctx.log.info. Detta gör att vi kan övervaka och logga all kommunikation mellan Android-enheten och WhatsApp Web, vilket ger insikt i de data som utbyts under QR-kodskanningsprocessen. De addons list registrerar vårt anpassade tillägg med mitmproxy, vilket gör att skriptet kan köras sömlöst när mitmproxy startas.

Det andra skriptet använder tshark, kommandoradsversionen av Wireshark, för att fånga och analysera nätverkstrafik. Kommandot tshark -i wlan0 -w initierar en fångst på det trådlösa gränssnittet och skriver utdata till en fil. Denna fil läses sedan och filtreras för att endast visa trafiken relaterad till Android-enhetens IP-adress, med hjälp av tshark -r -Y -T json. JSON-utgången bearbetas vidare med jq, en kommandorads JSON-processor, för att filtrera för HTTP/2-trafik med hjälp av jq '.[] | select(.layers.http2)'. Den filtrerade trafiken sparas och visas med cat whatsapp_filtered.json, som ger en detaljerad bild av WhatsApps webbkommunikation. Dessa skript, kombinerat, erbjuder en robust metod för att analysera krypterad trafik, vilket hjälper till att avslöja parametrarna som utbyts under WhatsApp Web-initiering.

Avlyssna och analysera WhatsApp-webbtrafik

Använder Python och mitmproxy för trafikanalys

import mitmproxy.http
from mitmproxy import ctx

class WhatsAppWebAnalyzer:
    def __init__(self):
        self.num_requests = 0

    def request(self, flow: mitmproxy.http.HTTPFlow) -> None:
        if "web.whatsapp.com" in flow.request.pretty_host:
            self.num_requests += 1
            ctx.log.info(f"Request {self.num_requests}: {flow.request.pretty_url}")

addons = [WhatsAppWebAnalyzer()]

Dekrypterar WhatsApp webbtrafik för analys

Använder Wireshark och Tshark för dekryptering av nätverkstrafik

#!/bin/bash

# Start tshark to capture traffic from the Android device
tshark -i wlan0 -w whatsapp_traffic.pcapng

# Decrypt the captured traffic
tshark -r whatsapp_traffic.pcapng -Y 'ip.addr == <ANDROID_DEVICE_IP>' -T json > whatsapp_traffic.json

# Filter for WhatsApp Web traffic
cat whatsapp_traffic.json | jq '.[] | select(.layers.http2)' > whatsapp_filtered.json

# Print the filtered traffic
cat whatsapp_filtered.json

Utforska avancerade tekniker för WhatsApp webbtrafikanalys

En kritisk aspekt av att analysera WhatsApp webbtrafik är att förstå de krypteringsprotokoll som används. WhatsApp använder end-to-end-kryptering, vilket innebär att meddelanden krypteras på avsändarens enhet och endast dekrypteras på mottagarens enhet. Detta gör att fånga upp och dekryptera trafiken till en utmanande uppgift. Men att förstå nyckelutbytesmekanismen och rollen för offentliga och privata nycklar kan ge insikter om potentiella sårbarheter och metoder för laglig avlyssning. Dessutom kan en analys av den första handskakningen mellan enheten och servern avslöja värdefull information om krypteringsprocessen och eventuell metadata som kan utbytas.

Ett annat tillvägagångssätt är att använda specialiserad hårdvara eller mjukvara som kan utföra deep packet inspection (DPI). DPI-verktyg kan analysera innehållet i datapaket när de passerar genom ett nätverk, vilket är användbart för att identifiera specifika applikationer eller protokoll även om trafiken är krypterad. Till exempel, att använda verktyg som Wireshark i kombination med plugins designade för WhatsApp-trafik kan hjälpa till att dissekera kommunikationsmönstren och identifiera de typer av meddelanden som utbyts. Dessutom kan förståelsen av det underliggande WebSocket-protokollet som används av WhatsApp Web erbjuda ytterligare insikter, eftersom detta protokoll spelar en betydande roll i realtidskommunikation mellan webbläsaren och WhatsApp-servrarna.

Vanliga frågor om analys av WhatsApp-webbtrafik

  1. Vilka verktyg är bäst för att fånga WhatsApp-webbtrafik?
  2. Verktyg som mitmproxy och tshark används ofta för att fånga och analysera nätverkstrafik.
  3. Hur säkerställer WhatsApp säkerheten för sin webbtrafik?
  4. WhatsApp använder end-to-end-kryptering, vilket säkerställer att meddelanden krypteras på avsändarens enhet och endast dekrypteras på mottagarens enhet.
  5. Kan trafik dekrypteras om den är krypterad?
  6. Dekryptering är extremt utmanande på grund av användningen av end-to-end-kryptering, men att förstå nyckelutbytesmekanismer kan ge insikter.
  7. Vad är djuppaketinspektion?
  8. Deep packet inspection (DPI) är en form av databehandling som i detalj inspekterar data som skickas över ett nätverk för att identifiera protokoll eller applikationer.
  9. Hur bidrar WebSockets till WhatsApp-webbkommunikation?
  10. WebSockets underlättar realtidskommunikation mellan webbläsaren och WhatsApp-servrarna, och spelar en avgörande roll för leverans av meddelanden.
  11. Finns det juridiska överväganden när man avlyssnar WhatsApp-trafik?
  12. Ja, avlyssning av trafik kan ha juridiska konsekvenser och bör göras i enlighet med lokala lagar och förordningar.
  13. Kan offentliga och privata nycklar utnyttjas på något sätt?
  14. Att utnyttja offentliga och privata nycklar är mycket komplext och vanligtvis opraktiskt utan betydande beräkningsresurser eller sårbarheter.
  15. Vilka är begränsningarna för att använda mitmproxy för detta ändamål?
  16. mitmproxy kan fånga trafik men kanske inte dekryptera den på grund av WhatsApps robusta krypteringsmetoder.
  17. Hur kan metadata vara användbar i trafikanalys?
  18. Metadata kan ge insikter i kommunikationsmönstren, såsom meddelandetidsstämplar och användarinteraktioner, utan att avslöja meddelandeinnehåll.

Slutliga tankar om WhatsApp webbtrafikanalys

Att förstå utbytet av parametrar under WhatsApp Web-initiering kräver avancerade verktyg och tekniker på grund av den starka krypteringen som används. Medan traditionella metoder som tpacketcapture och Burp Suite kan misslyckas, kan utnyttjande av djup paketinspektion och specialiserad programvara ge bättre insikter. Även om de är utmanande, kan dessa metoder hjälpa till att dechiffrera den krypterade trafiken, vilket ger en tydligare bild av data som utbyts mellan Android-enheten och webbläsaren under QR-kodskanningsprocessen.