Комментарии 11
В скором времени инструкцию надо будет расширить.
В Android Nougat приложения перестанут доверять пользовательским сертификатам если это отдельно не указано в network security configuration:
https://developer.android.com/preview/api-overview.html?hl=en#default_trusted_ca
В Android Nougat приложения перестанут доверять пользовательским сертификатам если это отдельно не указано в network security configuration:
https://developer.android.com/preview/api-overview.html?hl=en#default_trusted_ca
Есть другой способ. Можно установить на своём сервере Nginx, настроить его пробрасывать трафик с http на https хоста с API и поменять везде в приложении адреса с https на http.
Для приложения Uber такой способ работает.
Для приложения Uber такой способ работает.
можно поподробней? не понял Вашей схемы
Прописываем в nginx следующее:
server {
listen 0.0.0.0:80;
server_name test.alexbers.com;
location / {
proxy_pass https://cn-dca1.uber.com/;
proxy_redirect off;
}
}
Это заставит его пробрасывать соединения с 80 порта нашего сервера на 443 порт сервера убер. Затем меняем все адреса вида https://cn-dca1.uber.com/ в приложении на адреса вида http://alexbers.com/.
Теперь приложение будет использовать http вместо https.
Да, это если можно поменять…
Например с приложением КиноПоиск такой фокус не прокатит — декомпилировать что-бы поменять адрес не выходит, а без декомпиляции я не могу поменять ничего в classes.dex
Например с приложением КиноПоиск такой фокус не прокатит — декомпилировать что-бы поменять адрес не выходит, а без декомпиляции я не могу поменять ничего в classes.dex
для этого есть xposed. декомпилируем до smali, через grep находим все адреса и вперед. Правда убер обфусцирует весь код при каждой компиляции с рандомным выбором начала алфавита, поэтому придется шерстить все классы на bestmatch, что требует нормального телефона с минимум 2 Гб памяти и хорошим процессором, иначе будет тормозить.
и вообще в тэги хорош бы добавить uber, а то искал публикации на эту тему и не нашел. планирую написать статеечку как выяснять водителям заранее куда поедет пассажир
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Анализ трафика Android-приложений: обход certificate pinning без реверс-инжиниринга