4 метода обхода верификации SSL-сертификатов в Android
Прошли те времена, когда мобильные приложения мужественно игнорировали все ошибки, связанные с SSL, и позволяли перехватывать и модифицировать трафик.
- Добавление сертификатов в хранилище достоверных сертификатов.
- Перезапись упакованных сертификатов.
- Использование скрипта Frida для обхода проверок SSL-сертификатов.
- Изменение кода проверки сертификата.
Некоторые из вышеуказанных техник — простые, другие – более сложные в реализации. Мы рассмотрим каждый из этих методов без особого углубления в специфические детали.
Зачем нужна MITM-атака на SSL
Чтобы просматривать и изменять вызовы веб-службы, используемой мобильным приложением, нам понадобится промежуточный прокси сервер для перехвата, созданный при помощи утилит навроде BurpSuite или ZAP. При перехвате SSL-трафика SSL-соединение прерывается на стороне прокси-сервера. Сертификат, отсылаемый прокси-сервером, анализируется мобильным приложением, как если бы прокси был оконечной точкой веб-службы. По умолчанию самоподписанный сертификат, генерируемые утилитами наподобие Burp, не будет принадлежать проверенной достоверной цепочке. Если сертификат нельзя проверить на достоверность, большинство мобильных будут обрывать соединение вместо того, чтобы подключаться и работать в потенциально незащищенном канале. Техники, представленные ниже, предназначены для одной цели – убедить мобильное приложение, что сертификат, отправляемый прокси-сервером, является достоверным.
Техника 1 – Добавление сертификата в хранилище пользовательских сертификатов
Самый простой способ избежать SSL-ошибок – обзавестись валидным и надежным сертификатом. Эта задача решается относительно просто, если вы сможете установить достоверный сертификат на устройство. Если операционная система доверяет вашему центру сертификации, то будет доверять и сертификату, подписанному центром сертификации.
В Android есть два встроенных хранилища сертификатов, которые отслеживают, каким центрам сертификации доверяет операционная система: системное хранилище (хранит предустановленные сертификаты) и пользовательское хранилище (хранит сертификаты, добавленные пользователями).
Выдержка с сайта developer.android.com:
По умолчанию безопасные соединения (использующие протоколы TLS, HTTPS и им подобные) во всех приложениях доверяют предустановленным системным сертификатам. В Android 6.0 (API level 23) и более ранних версиях по умолчанию также считаются достоверными сертификаты, добавленные пользователями. Приложение может настраивать свои собственные соединения на уровне приложения (base-config) и на уровне домена (domain-config).
Сей факт означает, что, если мы имеем дело с приложением, которое работает в Android 6.0 и более ранних версиях, то можно просто добавить сертификат в пользовательское хранилище. Когда приложение пытается проверить достоверность цепочки для нашего сертификата, то обнаружит, что наш центр сертификации связан с достоверным хранилищем и, следовательно, будет доверять нашему сертификату. В более новых версиях приложение не будет доверять хранилищу пользовательских сертификатов. Чтобы решить эту проблему, нужно прописать такой уровень API и версию Android, чтобы приложение стало доверять пользовательским центрам сертификации. Мы будем редактировать атрибут «platformBuildVersionCode» элемента «manifest» в файле AndroidManifest.xml.
В коде выше в строке «platformBuildVersionCode=25» нужно поменять значение 25 на 23, а в строке platformBuildVersionName=»7.1.1″ значение 7.1.1 на 6.0.
После переупаковки приложения с обновленным файлом AndroidManifest.xml, доверие пользовательским центрам сертификации будет восстановлено.
Если требуется запуск на конкретной версии платформы, мы можем определить тэг trust-anchors в файле «/res/xml/network_security_config.xml». Например, следующий файл (https://developer.android.com/training/articles/security-config.html) определяет новый достоверный сертификат, который должен храниться по адресу /res/raw/my_ca.
Если в приложении будет проходить проверку только указанный сертификат, условия для успешного выполнения этой техники выполняются.
Техника 2 – Перезапись упакованного сертификата
Если после установки сертификата в пользовательское хранилище, изменении в настройках версии Android и успешном прохождении проверок при просмотре других ресурсов, защищенных протоколом SSL, все равно возникают ошибки, значит, разработчики внедрили дополнительные условия, которым должны удовлетворять достоверные центры сертификации. Если не забыли, в предыдущей технике внутри тэга trust-anchors добавлялся новый путь к сертификату. Подобный трюк может использоваться разработчиками для защиты приложений от перехвата SSL.
Если в приложении используется индивидуальная цепочка сертификатов, может сработать метод, связанный с перезаписью сертификата. Поскольку в некоторых случаях разработчики могут предусмотреть дополнительные методы для проверки достоверной цепочки, эта техника не гарантирует стопроцентного результата.
Рисунок 1: Перечень сертификатов, используемых приложением
Если открыть пакет приложения при помощи, например, APK Studio, то можно сразу увидеть перечень привязанных сертификатов. На картинке выше сертификаты находятся в папке «assets». Замена явно бросающегося в глаза сертификата UniversalRootCA позволит нам подсунуть приложению наш сертификат.
Техника 3 – Подключение к функциям через фреймворк Frida
Если установки собственного сертификата недостаточно для успешного перехвата SSL-трафика, скорее всего, в приложении используются техники навроде SSL pinning или дополнительная SSL-валидация. В этом случае нужно блокировать проверки через непосредственное подключение к соответствующим функциям. Ранее эта техника была доступна для реализации только на устройствах с правами суперпользователя. Однако на данный момент при помощи библиотеки Frida Gadget можно работать с приложением и получить доступ к полному функционалу фреймворка Frida без прав суперпользователя.
Если вы уже выполняли пентесты мобильных приложений, то, вероятно, знакомы с этим фреймворком. Описание всей функциональности Frida выходит за рамки этой статьи, но если говорить в общем, то этот фреймворк позволяет изменять логику работы приложения во время выполнения. Обычно Frida работает как отдельное приложение и требует прав суперпользователя на устройстве. Если у нас нет прав суперпользователя, мы можем инжектировать в пакет приложения динамическую библиотеку Frida Gadget, содержащую большую часть функционала фреймворка Frida. Эта библиотека загружается во время выполнения приложения и позволяет вносить изменения в код.
Чтобы загрузить Frida Gadget, нужно распаковать APK, вставить динамическую библиотеку, отредактировать smali-код так, чтобы динамическая библиотека вызывалась самой первой, а затем переупаковать и установить пакет. Весь этот процесс хорошо задокументирован Джоном Козиракисом (John Kozyrakis). Вначале лучше пройти все этапы вручную, чтобы лучше понять, как работает эта технология. Чтобы сэкономить время, существует утилита — Objection, которая автоматизирует весь вышеупомянутый процесс. Требуется лишь указание целевого пакета, над которым нужно выполнить манипуляции.
C:\ >objection patchapk -s test_app.apk No architecture specified. Determining it using `adb`. Detected target device architecture as: armeabi-v7a Github FridaGadget is v10.6.28, local is v10.6.13. Updating. Downloading armeabi-v7a library to C:\.objection\android\armeabi-v7a\libfrida-gadget.so.xz. Unpacking C:\.objection\android\armeabi-v7a\libfrida-gadget.so.xz. Cleaning up downloaded archives. Using Gadget version: 10.6.28 Unpacking test_app.apk App already has android.permission.INTERNET Reading smali from: C:\Temp\tmp8dxqks1u.apktemp\smali\com/test/app/TestMainActivity.smali Injecting loadLibrary call at line: 10 Writing patched smali back to: C:\Temp\tmp8dxqks1u.apktemp\smali\com/test/app/TestMainActivity.smali Creating library path: C:\Temp\tmp8dxqks1u.apktemp\lib\armeabi-v7a Copying Frida gadget to libs path. Rebuilding the APK with the frida-gadget loaded. Built new APK with injected loadLibrary and frida-gadget Signing new APK. jar signed. Signed the new APK Performing zipalign Zipaling completed Copying final apk from C:\Users\cwass\AppData\Local\Temp\tmp8dxqks1u.apktemp.aligned.objection.apk to current directory. Cleaning up temp files.
После завершения в нашей рабочей директории должен появиться файл «test_app.objection.apk». По умолчанию утилита objection добавляет постфикс «.objection» к имени пакета. Далее мы можем установить этот пакет так же, как и любой другой APK, при помощи команды adb install test_app.objection.apk. После того как измененный пакет установлен на целевом устройстве, во время запуска приложение должно встать на паузу на начальном экране. В этот момент мы можем подключиться к серверу Frida, который отслеживает наше устройство:
C:\>frida-ps -U
PID Name
—- ——
6383 Gadget
C:\>frida -U gadget
____
/ _ | Frida 10.3.14 — A world-class dynamic instrumentation framework
| (_| |
> _ | Commands:
/_/ |_| help -> Displays the help system
. . . . object? -> Display information about ‘object’
. . . . exit/quit -> Exit
. . . .
. . . . More info at http://www.frida.re/docs/home/
[Motorola Moto G (5) Plus::gadget]-> Java.available
true
Alternatively, Objection supports interaction with the listening Frida server by using the ‘explore’ command:
C:\>objection explore
___| |_ |_|___ ___| |_|_|___ ___
| . | . | | | -_| _| _| | . | |
|___|___|_| |___|___|_| |_|___|_|_|
|___|(object)inject(ion) v1.2.2
Runtime Mobile Exploration
by: @leonjza from @sensepost
[tab] for command suggestions
com.test.app on (motorola: 7.0) [usb] # android hooking search classes TrustManager
android.security.net.config.RootTrustManager
android.app.trust.ITrustManager$Stub$Proxy
android.app.trust.ITrustManager
android.security.net.config.NetworkSecurityTrustManager
android.security.net.config.RootTrustManagerFactorySpi
android.app.trust.TrustManager
android.app.trust.ITrustManager$Stub
com.android.org.conscrypt.TrustManagerImpl
com.android.org.conscrypt.TrustManagerImpl$ExtendedKeyUsagePKIXCertPathChecker
com.android.org.conscrypt.TrustManagerImpl$TrustAnchorComparator
com.android.org.conscrypt.TrustManagerFactoryImpl
javax.net.ssl.TrustManagerFactory$1
javax.net.ssl.TrustManager
javax.net.ssl.TrustManagerFactory
javax.net.ssl.X509TrustManager
javax.net.ssl.TrustManagerFactorySpi
javax.net.ssl.X509ExtendedTrustManager
[Ljavax.net.ssl.TrustManager;
Теперь вы можете воспользоваться функцией для обхода технологии SSL pinning:
com.test.app on (motorola: 7.0) [usb] # android sslpinning disable
Job: 2f633f86-f252-4a57-958e-6b46ac8d69d1 — Starting
[6b46ac8d69d1] [android-ssl-pinning-bypass] Custom, Empty TrustManager ready
Job: 2f633f86-f252-4a57-958e-6b46ac8d69d1 – Started
Техника 4 – Реверс-инжиниринг кода верификации сертификата
Возможен такой случай, когда разработчик использует собственные SSL-библиотеки вместо системных для верификации сертификата. В этой ситуации нам нужно распаковать пакет, сконвертировать smali-код в Java-код и найти функции, отвечающие за проверку сертификата.
Если использовать «dex2jar», синтаксис будет следующим:
C:\>d2j-dex2jar.bat «C:\test_app.apk»
dex2jar C:\test_app.apk -> .\test_app-dex2jar.jar
Полученный файл .jar должен быть пригоден для открытия в вашей любимой утилите для исследования Java-приложений (например, JD-GUI).
После того как вы нашли функции, отвечающие за проверку сертификата, можно либо полностью пропатчить код, либо подцепиться к нужной функции при помощи Frida. Чтобы сэкономить время и не пересобирать полностью приложение, эффективнее подцепиться к функциям, отвечающим за проверку сертификата. Шаги, описанные в предыдущей технике, позволят подключиться к приложению, и далее вы можете либо подцепиться к функции при помощи утилит фреймворка Frida, либо при помощи приложения Objection.
Заключение
Техники, описанные в этой статье, позволяют перехватывать SSL-трафик и обходить некоторые наиболее распространенные защиты, используемые разработчиками. Кроме того, я кратко рассказал об утилите Objection и фреймворке Frida. Обход технологии SSL pinning и других защит лишь небольшая часть возможностей, которые позволяют реализовать эти инструменты.
Надеюсь, мне удалось на доступном языке рассказать о техниках, которые могут быть пригодны для оценки безопасности мобильных Android-приложений и демонстрируют важность наличия нескольких способов проведения подобного рода исследований.
Если вам нравится играть в опасную игру, присоединитесь к нам — мы научим вас правилам!
Что делать, если я не могу установить приложение из HUAWEI AppGallery?
Если на экране установки отображается код ошибки, выполните следующие действия для решения проблемы.
Код ошибки
Причина
Решение
-2 Недействительный APK
1. Установочный пакет недействительный или неполный.
2. Пакет несовместим с операционной системой устройства.
3. Приложения HarmonyOS вступили в конфликт с приложениями Android.
1. Убедитесь, что установочный пакет был размещен на официальных каналах.
2. Загрузите официальное приложение из HUAWEI AppGallery.
3. Если ваше устройство работает на базе HarmonyOS, проверьте, установлена ли версия приложения для HarmonyOS. Для этого перейдите в раздел Настройки > Конфиденциальность > PrivateSpace или Настройки > Пользователи и аккаунты > Пользователи , выберите дополнительного пользователя и проверьте, установлено ли приложение. Если да, удалите его. Если нет, попробуйте проверить, может ли приложение быть установлено корректно. После проверки отключите службу PrivateSpace или удалите ваши дополнительные аккаунты.
Затем вернитесь к MainSpace или аккаунту владельца и проверьте, можно ли корректно установить приложение.
-103 Сертификат не найден
Приложение может быть несовместимо с операционной системой устройства.
При поиске приложения проверьте, есть ли тег, указывающий, что приложение совместимо с вашим устройством. Загрузите приложение после подтверждения совместимости.
— 24 Несовместимость UID
На устройстве могут быть остаточные файлы программного обеспечения, которые не были удалены.
1. Удалите остаточные файлы и кэш с помощью приложения Диспетчер телефона .
2. Обновите систему телефона и повторите попытку установки приложения.
3. Сделайте резервную копию данных, выполните восстановление заводских настроек и установите приложение снова.
-22 Сбой верификации
Возможно, ваша сеть неисправна или способ верификации неверный.
1. Подключите устройство к другой сети, подтвердите, что подключение стабильно и установите приложение снова. Если сеть работает нормально, посетите официальный сайт приложения, чтобы узнать правильный способ верификации.
2. Если на телефоне используется интерфейс EMUI 4.0 или 4.1, перейдите в раздел Настройки > Приложения > Меню , нажмите на опцию Показать системные , найдите в списке Google Play Service Updater, выберите Меню внизу экрана и нажмите Удалить обновления . После завершения удаления нажмите на опцию Выключить и снова установите приложение.
-110 Внутренняя ошибка,
которая привела к сбою установки.
Возможно, система телефона была перезагружена или некоторые системные файлы были удалены по ошибке, что привело к сбою установки.
1. Обновите систему.
2. Сделайте резервную копию данных, выполните восстановление заводских настроек и установите приложение снова.
-113 Приложение несовместимо с процессором устройства
Приложение несовместимо с процессором устройства (система телефона: 32-разрядная или 64-разрядная).
Следите за появлением новых версий, которые будут совместимы.
-25 Версия установленного приложения на телефоне новее загружаемой версии.
Версия установленного приложения на телефоне новее, чем версия приложения, загруженная из HUAWEI AppGallery , что приводит к сбою установки.
- Откройте Настройки , перейдите в раздел Пользователи и аккаунты > Пользователи и проверьте, добавили ли вы каких-либо пользователей или гостей.
- Если вы добавили других пользователей или гостей, войдите в систему как пользователь или гость и проверьте, установлено ли соответствующее приложение. Возьмем приложение WeChat в качестве примера. Если приложение WeChat установлено, сделайте резервную копию данных WeChat, откройте Настройки , перейдите в раздел Приложения > Приложения , найдите WeChat и нажмите на опцию Удалить .
- Если вы не добавили других пользователей или гостей, обновите систему до последней версии. Перейдите в раздел Настройки > Система и обновления > Обновление ПО и проверьте, доступна ли новая версия. Cледуя инструкциям на экране, обновите систему.
- Проверьте, установлено ли приложение в PrivateSpace . Для этого перейдите в раздел Настройки > Конфиденциальность > PrivateSpace на телефоне. Если приложение установлено, удалите его и установите его снова из HUAWEI AppGallery .
3. Восстановите заводские настройки телефона.
При восстановлении заводских настроек телефона все файлы на телефоне, включая музыку, изображения и установленные приложения, будут удалены. Соблюдайте осторожность при выполнении этой операции и заранее создайте резервную копию данных.
Откройте Настройки, найдите и откройте опцию сброса настроек телефона, затем следуйте инструкциям на экране, чтобы завершить операцию.
-3 Недействительный URL-адрес
1. Проверьте версию Android вашего устройства (6.0 или ниже). Для этого перейдите в раздел Настройки > О телефоне, чтобы проверить версию Android вместо EMUI.
2. Проверьте, выдает ли система сообщение с кодом ошибки -3.
Рекомендуется перейти на страницу https://appgallery.cloud.huawei.com/marketshare/app/C27162?locale=en_US и загрузить приложение HUAWEI AppGallery , чтобы заменить ранее установленное приложение.
-3 Недействительный URL-адрес
Выполните следующие действия для решения проблемы.
- Удалите загруженный установочный пакет приложения в разделе AppGallery > Я > Установочные пакеты . Чтобы завершить процесс загрузки, перейдите в раздел AppGallery > Я > Диспетчер установки и нажмите на строку выполнения загрузки справа от загружаемого приложения.
- Очистите кэш HUAWEI AppGallery ( Настройки > Приложения > Приложения > AppGallery > Память > Очистить кэш ).
- Подключитесь к другой сети и повторите попытку загрузки и установки приложения.
Другие коды ошибок
Обратитесь в службу поддержки клиентов Huawei в вашем регионе и загрузите журналы HUAWEI AppGallery и следующую информацию.
- Название приложения
- Версия приложения
- Скриншот кода ошибки или сообщения об ошибке
- Версия ОС
- Версия HUAWEI AppGallery
- Страна или регион
Все в порядке, но.
Этот текст мало кто будет читать и мы можем написать здесь все, что угодно, например.
Вы живете в неведении. Роботы уже вторглись в нашу жизнь и быстро захватывают мир, но мы встали на светлый путь и боремся за выживание человечества. А если серьезно, то.
В целях обеспечения безопасности сайта от кибератак нам необходимо убедиться, что вы человек. Если данная страница выводится вам часто, есть вероятность, что ваш компьютер заражен или вы используете для доступа IP адрес зараженных компьютеров.
Если это ваш частный компьютер и вы пытаетесь зайти на сайт, например, из дома — мы рекомендуем вам проверить ваш компьютер на наличие вирусов.
Если вы пытаетесь зайти на сайт, например, с работы или открытых сетей — вам необходимо обратиться с системному администратору и сообщить, что о возможном заражении компьютеров в вашей сети.
- © 2005-2023, «4PDA». 4PDA® — зарегистрированный товарный знак.
Ошибка. Сбой при загрузке Сертификат, использованный для подписи APK-файла, ещё не действителен.
При загрузке приложения выдаёт такую ошибку Сбой при загрузке Сертификат, использованный для подписи APK-файла, ещё не действителен. Используйте действительный сертификат. Дату на 1 день наза переводил — не помогло
Отслеживать
задан 29 авг 2014 в 10:43
3,372 19 19 серебряных знаков 35 35 бронзовых знаков
1 ответ 1
Сортировка: Сброс на вариант по умолчанию
Закрывайте вопрос. Моя ошибка была в том, что я думал, что дату надо переводить и создавать приложение, а сертификат был создан ещё со старой датой (Не переведённой). Просто надо было перевести на 1 день назад и создать новый файл ключей, а потом уже подписывать им приложение.
Отслеживать
ответ дан 29 авг 2014 в 10:54
3,372 19 19 серебряных знаков 35 35 бронзовых знаков
- android
- google-play
-
Важное на Мете
Похожие
Подписаться на ленту
Лента вопроса
Для подписки на ленту скопируйте и вставьте эту ссылку в вашу программу для чтения RSS.
Дизайн сайта / логотип © 2023 Stack Exchange Inc; пользовательские материалы лицензированы в соответствии с CC BY-SA . rev 2023.10.27.43697
Нажимая «Принять все файлы cookie» вы соглашаетесь, что Stack Exchange может хранить файлы cookie на вашем устройстве и раскрывать информацию в соответствии с нашей Политикой в отношении файлов cookie.