Обход Certificate Pinning

Обход Certificate Pinning

Bypassing Certificate Pinning — статья рассказывает о том, как перехватывать и анализировать трафик приложений для Android и при этом обойти механизм Certificate Pinning, не позволяющий подсунуть приложению левый сертификат. Краткая выжимка.

Обход Certificate Pinning

  1. Подключаем Android-смартфон к локальной сети.
  2. В настройках Android указываем в качестве адреса прокси-сервера IP-адрес нашего ноутбука.
  3. Устанавливаем на ноутбук Burp Suite, экспортируем его сертификат и импортируем в Android.
  4. Устанавливаем на смартфон и ноутбук Frida.
  5. Запускаем подопытное приложение под управлением Frida.
  6. Скармливаем Frida скрипт, который сообщит приложению, что сертификат подлинный и все нормально.


Еще один способ обойти Certificate Pinning — установить на смартфон Xposed и модуль SSLUnpinning.

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *