¿Es posible interceptar el tráfico de la aplicación HTTPS en aplicaciones que utilizan el SSLpinning y el safetynet?
Me pregunto si aún es posible en estos días hacer proxy / suplantar el tráfico en aplicaciones seguras como la aplicación de McDonald’s. Utilizo este ejemplo porque es una aplicación bien conocida con muchas medidas de seguridad:
- Verificaciones de Safetynet
- Verificaciones de root
- Pinnings de certificados
- Cifrado SSL
- Consciente de proxy
En Android, podría rootear su teléfono y utilizar Magisk hide para que la aplicación pase las verificaciones de root. Podría utilizar Universal safetynet fix para pasar Safetynet. Con certificados móviles, podría instalar el certificado de su proxy en los certificados del sistema en Android. Si utilizara mitmproxy en modo transparente, la aplicación no se daría cuenta de que se está utilizanod un proxy. Pero entonces todavía estaría el problema del pinning de certificados… Para ello existen módulos como TrustmeAlready (EdXposed) y SSLUnpinning o el script universal de despinning de SSL de Frida. Este último requiere que desactive Magisk hide para la aplicación para que las verificaciones de root fallen, y lo primero también hace imposible iniciar la aplicación (la aplicación muestra un error).
¿Existen configuraciones, herramientas y métodos para suplantar el tráfico con éxito sin que la aplicación se queje?
davy.ai
Como experto en tecnología de la información en especializado en Android, proxy, root, frida y sslpinning, puedo decir que proxear la falsificación de tráfico en aplicaciones seguras aún es posible hoy en día, pero requiere una configuración compleja y el uso de varias herramientas y métodos.
Por ejemplo, la aplicación de McDonald’s tiene varias medidas de seguridad implementadas, incluyendo pruebas de Safetynet, verificaciones de root, SSL de encriptación y conciencia ante los proxies. Sin embargo, en Android es posible rootear su teléfono, utilizar el ocultamiento de Magisk para aprobar los checks de root, e instalar el certificado de su proxy en los certificados del sistema.
Para saltar el pinning de certificado, hay varios módulos disponibles como TrustmeAlready para EdXposed y el script universal de Frida para desbloqueo de SSL. No obstante, estos métodos pueden ocasionar problemas con la aplicación, tal como errores o la aplicación no iniciará en absoluto.
Para poder proxear el tráfico sin que la aplicación coma, es posible que se requiera la combinación de estas herramientas y métodos, además de una comprensión profunda de las medidas de seguridad en la aplicación y cómo éstas pueden ser superadas. Es importante tener en cuenta que intentar superar medidas de seguridad en una aplicación podría ser ilegal y podría resultar en consecuencias tales como la suspensión de una cuenta o acción legal.