今天突然发现 Android7.0 以上的抓第三方的包都有难度了

2019-04-24 13:06:01 +08:00
 HFX3389

似乎是 Google 做的新安全策略

如果想要在 Android7.0 以上抓第三方 APP 的包只能:

  1. 逆向加(改)配置文件

  2. Root 系统将抓包软件的证书加入系统证书或者 Xposed(也是只有 Root 后才能操作)

当然,如果是自己的 APP 那么在测试阶段加一个配置文件信任所有的证书即可


以后 Android7.0 以上的机器会越来越多,以后想抓第三方 APP 包也越来越难!

如果我以后写安卓 APP 的话,我觉得可以:

  1. 只采用微信登录的方式登录(基于实人认证;另外微信对于 Root 和安装 Xposed 似乎有限制,一个不小心会封号)

  2. target 甚至 mini 指向 24 ( mini 或许太严格了点...)

  3. 开启 ssl pinning (保护不受中间人攻击)

  4. 弄个加固(限制普通逆向)

20607 次点击
所在节点    Android
51 条回复
ysc3839
2019-04-24 13:17:49 +08:00
Android 是开源的,还可以去掉相关检测代码自己编译一个系统。除非微信拒绝在非官方系统上运行。
kyf0722
2019-04-24 13:27:50 +08:00
不是吧,我记得我之前还抓过 android8.0 的,用户 ca 安装了之后还需要设置一下信任,似乎是这样,一会我确认一下
zeevin
2019-04-24 13:31:20 +08:00
不存在你说的情况,android9.0.2 用 fiddler 抓包完全没问题
HongJay
2019-04-24 13:31:38 +08:00
你在说什么呢。。。
KuroNekoFan
2019-04-24 13:54:38 +08:00
https://android-developers.googleblog.com/2016/07/changes-to-trusted-certificate.html 是这样的,用户证书不 root 已经不能被信任了
GTim
2019-04-24 14:00:24 +08:00
楼上的你们,能抓包?

不可能啊!!!!!除非自己家的

楼主,目前,就两个方案

1. 把 APP 降级,从最低的版本开始,如果你要抓某个包,就找那个包的最古老版本
2. 找一个非主流手机,不是华为不是小米的,先 Root 了,然后就可以安装自己的手机
fvckDaybyte2
2019-04-24 14:05:06 +08:00
@ysc3839 国内安卓还有官方系统么……
hikari
2019-04-24 14:06:33 +08:00
root 之后,把用户证书推到系统证书目录下,这样就可以抓 https 的包了
ysc3839
2019-04-24 14:10:29 +08:00
@fvckDaybyte2 我指的是手机厂商原本的系统。
jabari
2019-04-24 14:12:58 +08:00
还有一种是双向证书
KuroNekoFan
2019-04-24 14:13:16 +08:00
即使是国内厂商的 rom,那也是根据 aosp 的版本魔改的...所以这种安全策略还是会按照 aosp 的走
HangoX
2019-04-24 14:13:42 +08:00
那个是要按谷歌的方式配置证书才能这样,国内大部分 App 都不是采用这种方法配置证书。
zeevin
2019-04-24 14:16:18 +08:00
@GTim 你是说的 app 的么。我是抓包的普通 https 的网页。app 我没试过
est
2019-04-24 14:18:18 +08:00
@zeevin 普通 https 网页直接电脑端打开就随便抓了。。

一般情况下需要去 android 抓的都是 app
zeevin
2019-04-24 14:21:11 +08:00
@est 我这边是抓取的微信里的带微信登录的网页。 了解你们说的了
miyuki
2019-04-24 14:21:44 +08:00
lloovve
2019-04-24 14:26:11 +08:00
做代理,用电脑中转,什么包都能抓
unclemcz
2019-04-24 14:49:10 +08:00
virtualxposed 但仅支持 8.0 及以下,9.0 以上无法保证。
GTim
2019-04-24 15:03:38 +08:00
@lloovve 我还试过 DNS 大法
251243021
2019-04-24 15:13:07 +08:00
如果你要抓的是微信. 打开微信 x5 的控制中心.可以打开调试功能.也就发现安装用户 ca 能够被抓到

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/558222

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX