web-dev-qa-db-fra.com

Désactiver ou ignorer l'épinglage SSL / l'épinglage de certificat Android 6.0.1

Auparavant, j'ai pu contourner l'épinglage SSL en utilisant le programme JustTrustMe avec le Xposed framework pour presque toutes les applications.

https://github.com/Fuzion24/JustTrustMe

Cependant, il a commencé à échouer sur de plus en plus d'applications récemment. Plus je lis, il semble que je dois démonter chaque application et les corriger une par une.

Y a-t-il une application que j'ai manquée qui peut désactiver l'épinglage SSL en se connectant aux commandes système?

Programmes que j'ai essayés:

https://github.com/Fuzion24/JustTrustMe

https://github.com/iSECPartners/Android-SSL-TrustKiller

https://github.com/ac-pm/SSLUnpinning_Xposed

S'il n'y a pas un tel programme, quelle est la meilleure façon de procéder?

Ce que j'ai identifié jusqu'à présent:

  1. Essayez de démonter l'APK et recherchez des mots clés tels que "X509TrustManager", "cert", "épinglant" etc. et modifiez-le en conséquence. Comme cet article: http://blog.dewhurstsecurity.com/2015/11/10/mobile-security-certificate-pining.html

  2. Cependant, il semble qu'au moins une des applications que j'ai du mal à mandater (Facebook Messenger) utilise l'épinglage SSL dans la couche native ainsi que la couche Java. C'est probablement le cas dans de nombreux d'autres applications également car elles ont déjà travaillé avec JustTrustMe mais ont maintenant cessé de fonctionner. https://serializethoughts.com/2016/08/18/bypassing-ssl-pinning-in-Android-applications/

androidproxyburp-suitehttp-proxyssl-interception
3
Ogglas

Avez-vous suivi ces procédures pour que JustTrustMe contourne le certificat d'épinglage - http://www.welivesecurity.com/2016/09/08/avoid-certificate-pinning-latest-versions-Android/ = -?

Si vous cherchez simplement à intercepter des WebViews, alors l'extension Frida, appmon (qui permet l'interception de l'API) , l'utilisation de ces techniques fonctionnera bien - https://youtu.be/ QjLRaIB-97E

Si vous devez réécrire du code, essayez de le garder très simple. J'ai trouvé cette technique qui ne dérange pas le code d'épinglage de certificats existant et ajoute simplement le trafic HTTP au système de journalisation - https://blog.securityevaluators.com/how-to-view-tls -trafic-in-androids-logs-6a42ca7a6e55

Pour une série sur le reconditionnement Android, assurez-vous de vérifier:

7
atdre