Auparavant, j'ai pu contourner l'épinglage SSL en utilisant le programme JustTrustMe
avec le Xposed framework
pour presque toutes les applications.
https://github.com/Fuzion24/JustTrustMe
Cependant, il a commencé à échouer sur de plus en plus d'applications récemment. Plus je lis, il semble que je dois démonter chaque application et les corriger une par une.
Y a-t-il une application que j'ai manquée qui peut désactiver l'épinglage SSL en se connectant aux commandes système?
Programmes que j'ai essayés:
https://github.com/Fuzion24/JustTrustMe
https://github.com/iSECPartners/Android-SSL-TrustKiller
https://github.com/ac-pm/SSLUnpinning_Xposed
S'il n'y a pas un tel programme, quelle est la meilleure façon de procéder?
Ce que j'ai identifié jusqu'à présent:
Essayez de démonter l'APK et recherchez des mots clés tels que "X509TrustManager", "cert", "épinglant" etc. et modifiez-le en conséquence. Comme cet article: http://blog.dewhurstsecurity.com/2015/11/10/mobile-security-certificate-pining.html
Cependant, il semble qu'au moins une des applications que j'ai du mal à mandater (Facebook Messenger) utilise l'épinglage SSL dans la couche native ainsi que la couche Java. C'est probablement le cas dans de nombreux d'autres applications également car elles ont déjà travaillé avec JustTrustMe mais ont maintenant cessé de fonctionner. https://serializethoughts.com/2016/08/18/bypassing-ssl-pinning-in-Android-applications/
Avez-vous suivi ces procédures pour que JustTrustMe contourne le certificat d'épinglage - http://www.welivesecurity.com/2016/09/08/avoid-certificate-pinning-latest-versions-Android/ = -?
Si vous cherchez simplement à intercepter des WebViews, alors l'extension Frida, appmon (qui permet l'interception de l'API) , l'utilisation de ces techniques fonctionnera bien - https://youtu.be/ QjLRaIB-97E
Si vous devez réécrire du code, essayez de le garder très simple. J'ai trouvé cette technique qui ne dérange pas le code d'épinglage de certificats existant et ajoute simplement le trafic HTTP au système de journalisation - https://blog.securityevaluators.com/how-to-view-tls -trafic-in-androids-logs-6a42ca7a6e55
Pour une série sur le reconditionnement Android, assurez-vous de vérifier: