ワイヤーシャークでSSLトラフィックをスニッフィングするwhatsapp

サーバー（RSA認証スイートの特権、サーバーアプリまたはプログラムメモリ）またはクライアント（アプリまたはメモリ）のいずれかを制御しない限り、メッセージを復号化することはできません（まあ、または両方が弱い暗号をネゴシエートしますが、それは別のトピックです）

最も簡単な方法ですが、サーバーとクライアントの両方で最も侵襲的で簡単に見つけることができます：ssl/tls man-in-the-middle with fake certs。これにより、クライアントアプリがクライアントアプリに表示するサーバー証明書が変更されるため、接続が拒否される可能性があります（証明書のピン留め、ハードピン留め）。そうでない場合は、サーバーを制御し、ネゴシエートされたキーにアクセスできます。

Why？クライアントとサーバーは両方とも、クライアントとサーバーのセッションキーのセットを取得する共有マスターシークレットをネゴシエートします（対応するrfcで指定されたtls prfを使用します（例：rfc2246 --tls1.0））。

そうは言っても、サーバーをいじりたくない、またはいじることができず、クライアントプロセスにアクセスできる場合は、どういうわけか-への道を見つけることができます。 メモリからマスターシークレットを抽出そしてrfcで指定されているようにクライアント/サーバーセッションキーを再計算します。抽出は、アプリケーションをデバッグするか、メモリアーティファクトを検索するか、パッチを適用してからプロトコルメッセージを復号化することで実行できます。マスターシークレットは時々再生成されるため、wiresharkがキーを再ネゴシエーションに一致させるために、マスターシークレットネゴシエーションまたは正確な時刻につながるクライアントhello（クライアントランダム）も追跡する必要があることに注意してください。キーはこのクライアントセッションでのみ有効であり、暗号を復号化できます制限なしマスターシークレットは、tlsキーネゴシエーションが終了した後に両者が合意する最終的なシークレットであるため、RSA認証になります。

マスターシークレットを取得し、それをクライアントhelloにマップしたら、それを nssキーログ形式 でwiresharkにフィードできます。

メモリ内のmaster_keyを見つける方法の例を次に示します。 pymemscrape は、プロセスメモリイメージからmaster_keyを見つける方法を示すPoCです。

セッションキーロギングを使用すると、セッションのキーに到達できます。その後、wiresharkはそれを使用してパケットを解決できます。

1. マシンでセッションロギングを有効にします。

   Windowsの場合：「高度なシステム設定」->「環境変数」

   「SSLKEYLOGFILE」という名前の新しい変数と、指定されたファイル/path/to/sslkeylog.logを追加します。

   Linux、MAC OS：

   $ export SSLKEYLOGFILE =〜/ path/to/sslkeylog.log

2. Wiresharkにセッションログファイルを追加します

   編集->設定->プロトコル-> SSLを選択

   「sslkeylog.log」ファイルを（Pre）-Master-Secretログファイル名まで参照して保存します。

詳細な手順はこちら： https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

不可能です。誰もがサーバー証明書と公開鍵を持っていますが、情報を復号化するには秘密鍵が必要です。秘密鍵はサーバー（whatsapp）にのみ存在します。

この情報を復号化できる唯一の方法は、whatsappサーバーにハッキングして秘密鍵を盗むことです（これは行わないでください）

あなたが鍵を持っているなら、多分このプラグインはあなたを助けることができます！見てください

https://github.com/davidgfnet/wireshark-whatsapp