SSL entschlüsselung im eigenen Netzwerk

[Tremolo]

Hallo,
ich bin der neue und komme jetzt öfters

Ich habe kürzlich mit der Capture Funktion der FritzBox meinen eigenen WLAN Traffic mitgeschnitten und bin über eine verschlüsselte Kommunikation meines Androiden gestolpert. Erst konnte ich mir keinen Reim darauf machen da ich das Handy nicht benutzt habe, kam dann aber doch schnell dahinter.

Der Traffic wurde vom KIK Messenger verursacht, welcher offensichtlich SSL verschlüsselt übermittelt.(TLSv1?) Da ich diesen zum Zeitpunkt des capturing nicht genutzt habe, vermute ich, dass einfach der Nutzerstatus von mir und anderen Kontakten übermittelt wurde.

Um etwas mehr ins Thema zu kommen, habe ich mir den Traffic genauer angesehen und schnell festgestellt das ich so nicht an den Key zum entschlüsseln komme.

Selbst die mitgeloggten Handshakes und der Zertifikatsaustausch mit dem Server nutzen mir so nichts.?

Wie komme ich dem auf die Schliche? Ist es möglich die "heimlichen" übertragungen des Messengers zu decrypten?
Funktioniert das nur mit MITM und fake Zertifikat?

Vielen Dank!

 

[Tremolo]

Hi xrayn,
und vielen Dank für Deine Antwort!
Verstehe ich richtig? Ich muss am Laptop theoretisch nicht mit Server und Client den Schlüssel tauschen um an die Daten zu kommen?

Die Biliothek liegt dann auf meinem Mobiltelefon und puffert die Daten vor der Verschlüsselung um sie dann zu in ein logfile zu schreiben?

Ich müsste also wissen welcher Prozess die Unterhaltung mit dem Server übernimmt, auf die Bilbliothek verweisen und die Logs speichern?

Ich kann mich täuschen, aber das klingt erstmal komplizierter als den Verkehr mit einem fake CA über mitm mitzusniffen.

Nicht sicher.

 

[Tremolo]

Oh, ok. Dann doch die Variante mit der lib.
Kannst Du mir vielleicht etwas zu lesen für mein Vorhaben empfehlen/an die Hand geben?


Danke

 

[Tremolo]

Ich habe während des Urlaubs ne Menge gelesen und recherchiert.
Aber bei diesem Thema stoße ich ständig an die Grenzen meiner Kenntnisse.
Um das Umzusetzen muss man sich sicherlich länger intensiv damit beschäftigen oder von Haus aus Programmierer sein.

Ich hatte es mir einfacher vorgestellt herauszufinden was meine Apps verschlüsselt übertragen.

Es kommt nicht oft vor, aber hier muss ich wohl passen.;(

 

[SchwarzeBeere]

Burp Suite

Alternativ sollten einfache TLS-Verbindungen ohne Client-Cert natürlich auch mit wireshark mitgeschnitten werden können, siehe beispielsweise hier, hier oder hier.

 

[Tremolo]

Oh, das hört sich schon mal gut an.
Nun frage ich mich wie ich an den RSA Key für Wireshark kommen soll. Die Adresse die die APP aufruft, ist vom Browser aus nicht erreichbar.
Ich kann also das Zertifikat so direkt nicht einsehen, oder?

Schönen Abend

 

[SchwarzeBeere]

.
Nun frage ich mich wie ich an den RSA Key für Wireshark kommen soll. Die Adresse die die APP aufruft, ist vom Browser aus nicht erreichbar.
Ich kann also das Zertifikat so direkt nicht einsehen, oder?

Du könntest beispielsweise jeglichen Traffic deines Smartphones über deinen PC leiten und alle Daten mitschneiden. Unter Windows 7 ist das z.B. hier beschrieben, bei anderen Betriebssystemen ist das sicherlich ebenso einfach. Eine andere Möglichkeit wäre ein zweiter Router mit Linux-OS und tshark oder tcpdump-support, z.B. Open-/DD-WRT. Eventuell wäre auch eine virtuelle Android-Maschine, auf der du deine App installierst, möglich. Oder tcpdump auf dem Android-Gerät selbst.

Mittels Wireshark solltest du nun zumindest den Handshake und das darin ausgetauschte Zertifikate einsehen. Mittels Burp-Installation auf dem Router oder deinem Rechner startest du dann einfach einen Angriff. Das funktioniert aber nur dann, wenn dein Android bzw. die App auch das gefälschte Zertifikat, das ja nun vom burp-Proxy ausgeliefert wird, akzeptiert. Aber auch hier lässt sicherlich einiges tweaken, z.B. mittels eigenen vertrauenswürdigen RootCAs, welche du systemweit installierst.