公司能不能监控到微信聊天?

Posted 程序员大咖

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了公司能不能监控到微信聊天?相关的知识,希望对你有一定的参考价值。

👇👇关注后回复 “进群” ,拉你进程序员交流群👇👇

作者丨车小胖谈网络

来源丨车小胖谈网络(ID:chexiaopangnetwork)

最近有朋友私信问我一个问题,在公司用微信聊天,用公司网络,公司能看到聊天内容吗?

坦率地说,以前从来没有分析过微信这类聊天软件,大概率使用私有协议。而私有协议在协议分析软件上的呈现,一般都是TCP封装一长串字节流,而这些字节流究竟是什么内容,协议软件无法给出答案!看看协议分析软件能否看到微信网页版、手机APP版和电脑版的聊天内容?

网页版微信

协议分析结果

不知道大家看到“美女好[玫瑰]”哇,这个就是协议分析软件分析出来的聊天内容。

真实聊天内容

一摸一样!

实验结论

协议分析软件可以将聊天内容解密出来!

实验分析

网页版微信通常是使用浏览器来与微信服务器通信的,而浏览器多种多样,有Chrome、Firefox、IE等等,要想与不同的厂商浏览器通信,必须使用标准协议,而标准协议在协议分析软件上是可以解开的。

考虑到网页版的微信,可能会使用SSL/TLS加密聊天内容,需要用Fiddle作为中间人,用Fiddle伪造的证书来欺骗浏览器,让浏览器误以为Fiddle就是微信服务器。Fiddle再与微信服务器建立SSL/TLS加密通道,传输聊天内容。

  • 浏览器与Fiddle建立SSL/TLS加密通道

  • Fiddle与微信服务器建立SSL/TLS加密通道

  • Fiddle做为二传手,将消息在两条通道上进行传递,先解密,再加密

  • Fiddle需要伪造微信服务器证书

  • 电脑需要安装、信任Fiddle自签名的根证书

手机版微信

协议分析结果

微信手机版没有使用TLS + HTTP= HTTPS的加密传输方式,而是使用了HTTP的传输方式,如上图所示。

每一个报文大概是这个样子的:

除了HTTP 报文头(HTTP Header)是明文的,HTTP报文体(HTTP Body)看起来是一堆杂乱无章的字节流。

没有找到聊天的任何内容。最最滑稽的是,当发送聊天内容时,Fiddle没有任何反应!

意味着发送聊天内容的报文既不是HTTP,也不是HTTPS,那很可能是TCP、或UDP协议原始(Raw)封装

为了确认到底是TCP还是UDP传输报文,特意去了微信研发公众号去确认,得到的确认是采用TCP传输。分为两种连接方式:

  • 长连接:TCP + 私有协议 + MMTLS + 业务层

  • 短连接:TCP + HTTP + MMTLS + 业务层

官方的口径是,短连接是为了兼容老版本的软件,而长连接完全是私有实现,所以造成Fiddle没有捕获到,毕竟Fiddle只能捕获到HTTPHTTPS,至于其它的协议压根不在其感兴趣范围!

于是,使用Wireshark捕获微信长连接的TCP报文,确实捕获到了,再怎么私有实现,总不能长翅膀飞!但是这些TCP报文没有展示的意义,TCP头之后字段全是杂乱无章的,这些都在预料之中!

MMTLS是什么样的存在?

MMTLSTLS1.3版本的改良版,或者说简化版。在微信决定使用MMTLS之前,TLS1.3版本长期逗留在草案状态,没有形成一个最终标准。于是微信决定采用TLS1.3草案中的标准,大刀阔斧砍掉客户端认证这个环节,只保留服务器认证。

手机微信APP里预置了微信服务器的两件秘密武器

  • ECDSA公钥

  • 静态ECDH公钥

ECDSA公钥是干嘛的?

ECDSA用于验证服务器的真实身份,任何来自于服务器的MMTLS协商报文,只要使用ECDSA私钥签名的,ECDSA公钥都可以解密。换句话说,如果签名部分可以使用ECDSA公钥解密,那就证明是真正微信服务器发送的!

在微信的私有实现里,不需要CA,微信客户端凭借预置的ECDSA公钥完成服务器的认证

静态ECDH公钥又是干嘛的?

如果微信客户端想最小延迟(0 RTT)发消息,可以直接生成自己的ECDH私钥、公钥、Nonce,再加上服务器预置的Nonce。就可以单方面计算出Pre-Master Key ,Master Key , Session Key,进而将消息加密发出。

微信服务器收到消息的同时,一同收到的还有客户端的ECDH公钥、客户端Nonce,服务器用自己的ECDH私钥、预留在客户端的Nonce,这四个参数,计算出可以解密消息的Key,并将消息解密出。

MMTLS没有给消息增加额外的延迟,称这种通信为 0 RTT通信

由于微信客户端,强制使用服务器的ECDSA公钥来认证服务器的身份,所以Fiddle压根没法欺骗微信APP。如果Fiddle强制替换,微信客户端会放弃连接服务器,造成的后果就是微信永远登录不了服务器!

微信APP之所以可以实现私有协议,是因为服务器、客户端都是微信的代码,再怎么私有,理解起来也没有任何障碍!

老板能否监控到员工使用电脑版微信聊天内容?

揭晓答案:不能,各位放心大胆使用

大家那点小心思早就被微信之父“张小龙”看穿了,为了最大限度保护各位的隐私,只要是从腾讯官方下载的电脑版微信、手机APP,都是安全的、可靠的。

值得庆幸的是,第三方监控软件无法解密微信聊天,实验过程与实验图片略。

这个结论可能依然无法打消部分读者的疑虑,为何微信网页版可以监控,而其它的两种微信却无法监控?

网页版微信

客户端是形形色色的浏览器,有Chrome、Firefox、IE等等,这些浏览器之所以可以与微信服务器通信并下载聊天内容,是因为客户端、服务器端使用业界标准的TLS协议通信。

在此通信场景下,腾讯能够完全控制的代码是服务器端,而客户端的代码则鞭长莫及、无法控制。为了使通信成为可能,服务器必须严格遵守TLS协议标准。

监控软件一方面欺骗客户端,自己就是微信服务器;另一方面欺骗服务器,自己就是微信客户端。这样一来,监控软件一方面可以解密客户端的消息,又可以解密服务器的消息。

电脑版/手机APP微信

客户端的代码,完全是微信的代码;服务器的代码更不用说了,依然也是微信的代码。既然双方的代码都由微信完全控制,他们想使用什么私有加密协议来保护通信安全,那都是他们内部的私事,任何第三方几乎无法破解

其实微信并没有使用什么私有协议,依然使用TLS协议来加密数据。同学们可能会更迷惑了,既然使用标准的TLS协议通信,为何第三方却无法监控呢?

客户端预先嵌入(硬编码)了微信服务器的公钥,客户端抱着“一颗红心,两种准备”。如果服务器出示的公钥,与客户端预先嵌入的公钥完全相同(暗号比对成功),客户端立马晓得,这是来自于微信官方的大佬,接头成功,继续通信。

如果对方出示的公钥,与客户端预先嵌入的公钥不同。客户端立马意识到,遇到骗子了,“打死俺也不说” !对待骗子不理不睬,忽视他。。。

一位经常出差的好友,在酒店里拨公司VPN,尝试多次无法成功,打电话问我怎么回事?

酒店的监控软件,一直试图欺骗VPN客户端,而VPN客户端由于预先嵌入了VPN服务器的公钥,毫不费力地识别了骗子行为。而骗子却很有韧劲,一次次地尝试欺骗。VPN客户端则更偏执:“想骗老娘,想得美!

当然微信这种加密传输,只是为了防止在传输过程中泄密。毫无疑问,微信服务器还是可以看到各位聊天的明文数据。所以,最好不要在微信里明文传输非常非常隐私的数据,如果一定要传,可以先将数据加密之后再传,接收方解密数据之后,就可以得到明文的数据了。

最终结论

  • 微信网页版,使用公司网络,公司可以看到聊天内容,无论使用的是公司电脑还是个人电脑

  • 微信网页版,使用4G网络,流量没走公司,公司自然也无法看到聊天内容

  • 微信手机版,使用私有协议通信,手机APP嵌入了服务器的公钥,APP只认与这个公钥一一对应的私钥签名。使用其它私钥签名的一概不认,所以无法欺骗微信APP。使用微信手机版聊天是安全的,无论是使用公司网络还是4G网络,公司都无法看到聊天内容。

  • 电脑版微信,同手机版一样是安全的,公司无法看到聊天内容。

-End-

最近有一些小伙伴,让我帮忙找一些 面试题 资料,于是我翻遍了收藏的 5T 资料后,汇总整理出来,可以说是程序员面试必备!所有资料都整理到网盘了,欢迎下载!

点击👆卡片,关注后回复【面试题】即可获取

在看点这里好文分享给更多人↓↓

以上是关于公司能不能监控到微信聊天?的主要内容,如果未能解决你的问题,请参考以下文章

又一公司被曝监控员工手机:短信照片微信聊天记录都能获取!

为啥苹果手机截图不能分享到微信?

监控聚币网行情 并实时发送到微信

为啥苹果手机截图不能分享到微信

微信 SQLite 数据库修复实践

phpcms如何将内容发送到微信号