公司能不能監(jiān)控到微信聊天？

最近有朋友私信問我一個問題，在公司用微信聊天，用公司網絡，公司能看到聊天內容嗎？

坦率地說，以前從來沒有分析過微信這類聊天軟件，大概率使用私有協(xié)議。而私有協(xié)議在協(xié)議分析軟件上的呈現，一般都是TCP封裝一長串字節(jié)流，而這些字節(jié)流究竟是什么內容，協(xié)議軟件無法給出答案！看看協(xié)議分析軟件能否看到微信網頁版、手機APP版的聊天內容？

網頁版微信

協(xié)議分析結果

不知道大家看到“美女好[玫瑰]”哇，這個就是協(xié)議分析軟件分析出來的聊天內容。

真實聊天內容

一摸一樣！

實驗結論

協(xié)議分析軟件可以將聊天內容解密出來！

實驗分析

網頁版微信通常是使用瀏覽器來與微信服務器通信的，而瀏覽器多種多樣，有Chrome、Firefox、IE等等，要想與不同的廠商瀏覽器通信，必須使用標準協(xié)議，而標準協(xié)議在協(xié)議分析軟件上是可以解開的。

考慮到網頁版的微信，可能會使用SSL/TLS加密聊天內容，需要用Fiddle作為中間人，用Fiddle偽造的證書來欺騙瀏覽器，讓瀏覽器誤以為Fiddle就是微信服務器。Fiddle再與微信服務器建立SSL/TLS加密通道，傳輸聊天內容。

• 瀏覽器與Fiddle建立SSL/TLS加密通道
• Fiddle與微信服務器建立SSL/TLS加密通道
• Fiddle做為二傳手，將消息在兩條通道上進行傳遞，先解密，再加密
• Fiddle需要偽造微信服務器證書
• 電腦需要安裝、信任Fiddle自簽名的根證書

手機版微信

協(xié)議分析結果

微信手機版沒有使用TLS + HTTP= HTTPS的加密傳輸方式，而是使用了HTTP的傳輸方式，如上圖所示。

每一個報文大概是這個樣子的：

除了HTTP 報文頭（HTTP Header）是明文的，HTTP報文體（HTTP Body）看起來是一堆雜亂無章的字節(jié)流。

沒有找到聊天的任何內容。最最滑稽的是，當發(fā)送聊天內容時，Fiddle沒有任何反應！

意味著發(fā)送聊天內容的報文既不是HTTP，也不是HTTPS，那很可能是TCP、或UDP協(xié)議原始（Raw）封裝。

為了確認到底是TCP還是UDP傳輸報文，特意去了微信研發(fā)公眾號去確認，得到的確認是采用TCP傳輸。分為兩種連接方式：

• 長連接：TCP + 私有協(xié)議 + MMTLS + 業(yè)務層
• 短連接：TCP + HTTP + MMTLS + 業(yè)務層

官方的口徑是，短連接是為了兼容老版本的軟件，而長連接完全是私有實現，所以造成Fiddle沒有捕獲到，畢竟Fiddle只能捕獲到HTTP或HTTPS，至于其它的協(xié)議壓根不在其感興趣范圍！

于是，使用Wireshark捕獲微信長連接的TCP報文，確實捕獲到了，再怎么私有實現，總不能長翅膀飛！但是這些TCP報文沒有展示的意義，TCP頭之后字段全是雜亂無章的，這些都在預料之中！

• ECDSA公鑰
• 靜態(tài)ECDH公鑰

• 微信網頁版，使用公司網絡，公司可以看到聊天內容，無論使用的是公司電腦還是個人電腦。
• 微信網頁版，使用4G網絡，流量沒走公司，公司自然也無法看到聊天內容。
• 微信手機版，使用私有協(xié)議通信，手機APP嵌入了服務器的公鑰，APP只認與這個公鑰一一對應的私鑰簽名。使用其它私鑰簽名的一概不認，所以無法欺騙微信APP。使用微信手機版聊天是安全的，無論是使用公司網絡還是4G網絡，公司都無法看到聊天內容。