it-swarm.com.de

Deaktivieren oder umgehen Sie das SSL-Pinning / Zertifikat-Pinning auf Android 6.0.1

Bisher konnte ich das SSL-Pinning mithilfe des Programms JustTrustMe mit dem Xposed framework Für fast jede App umgehen.

https://github.com/Fuzion24/JustTrustMe

In letzter Zeit scheitert es jedoch immer mehr an Apps. Je mehr ich lese, desto mehr muss ich jede App zerlegen und einzeln patchen.

Gibt es eine Anwendung, die ich verpasst habe und die das SSL-Pinning durch Einbinden in Systembefehle deaktivieren kann?

Programme, die ich ausprobiert habe:

https://github.com/Fuzion24/JustTrustMe

https://github.com/iSECPartners/Android-SSL-TrustKiller

https://github.com/ac-pm/SSLUnpinning_Xposed

Wenn es kein solches Programm gibt, was ist der beste Weg?

Was ich bisher identifiziert habe:

  1. Versuchen Sie, die APK zu zerlegen und nach Schlüsselwörtern wie "X509TrustManager", "cert", "pinning" usw. zu suchen, und ändern Sie sie entsprechend. Gefällt mir diesem Artikel: http://blog.dewhurstsecurity.com/2015/11/10/mobile-security-certificate-pining.html

  2. Es scheint jedoch, dass mindestens eine der Apps, für die ich Probleme beim Proxying habe (Facebook Messenger), SSL-Pinning in der nativen Ebene sowie in der Ebene Java) verwendet. Dies ist wahrscheinlich in vielen Fällen der Fall andere Anwendungen auch, da sie zuvor mit JustTrustMe gearbeitet haben, aber jetzt nicht mehr funktionieren. https://serializethoughts.com/2016/08/18/bypassing-ssl-pinning-in-Android-applications/

3
Ogglas

Haben Sie diese Verfahren durchlaufen, um JustTrustMe dazu zu bringen, das Anheften von Zertifikaten zu umgehen - http://www.welivesecurity.com/2016/09/08/avoid-certificate-pinning-latest-versions-Android/ = -?

Wenn Sie nur WebViews abfangen möchten, funktioniert die Frida-Erweiterung appmon (die das Abfangen von APIs ermöglicht) mit diesen Techniken gut - https://youtu.be/ QjLRaIB-97E

Wenn Sie am Ende einen Code neu schreiben müssen, versuchen Sie, ihn wirklich einfach zu halten. Ich habe diese Technik gefunden, die nicht mit dem vorhandenen Code zum Anheften von Zertifikaten in Konflikt gerät und stattdessen nur den HTTP-Verkehr zum Protokollierungssystem hinzufügt - https://blog.securityevaluators.com/how-to-view-tls -traffic-in-androids-logs-6a42ca7a6e55

Eine Reihe zum Umpacken von Android Apps) finden Sie unter:

7
atdre