今天突然发现 Android7.0 以上的抓第三方的包都有难度了

2019-04-24 13:06:01 +08:00
 HFX3389

似乎是 Google 做的新安全策略

如果想要在 Android7.0 以上抓第三方 APP 的包只能:

  1. 逆向加(改)配置文件

  2. Root 系统将抓包软件的证书加入系统证书或者 Xposed(也是只有 Root 后才能操作)

当然,如果是自己的 APP 那么在测试阶段加一个配置文件信任所有的证书即可

以后 Android7.0 以上的机器会越来越多,以后想抓第三方 APP 包也越来越难!

如果我以后写安卓 APP 的话,我觉得可以:

  1. 只采用微信登录的方式登录(基于实人认证;另外微信对于 Root 和安装 Xposed 似乎有限制,一个不小心会封号)

  2. target 甚至 mini 指向 24 ( mini 或许太严格了点...)

  3. 开启 ssl pinning (保护不受中间人攻击)

  4. 弄个加固(限制普通逆向)

20630 次点击
所在节点    Android
51 条回复
mingyun
2019-04-24 22:21:11 +08:00
@lxghost nice
jim9606
2019-04-24 22:53:33 +08:00
这个策略算不上什么新玩意了。

对于自己开发的应用,debug 编译是可以选择信任用户证书的。

对于恶意第三方,root+xposed 肯定有的

对于一般用户的意义就是 可以防止某些不怀好意的 APP (例如在微信页面插广告什么的)或者企业应用用用户证书+V。PN API 监控 /窃取 /篡改流量(如果支持这个,肯定有一些企业网络监控方案会用这种方法偷懒)

事实上如果有安装用户证书,每次开机都会出“可能被第三方监控”的通知

很难说这样好不好,这算是收回用户一定的自主权。
iyaozhen
2019-04-24 23:01:47 +08:00
所以最近喜欢用 iOS 做测试了。😊
nanaw
2019-04-24 23:17:25 +08:00
@HFX3389
1. Root 环境是常规环境,目前 Android 不 Root 没法治流氓,各家 ROM 虽说有所作为但还不够。并且即使不 Root,在第三方 rec 下也可以直接操作导入系统证书。
2. 你如果不想被抓,那就只能自己维护一个证书列表,外部的都不信任。用尽手段反 Root 和 xposed 并且强加固。不过现在 xposed 好办,Root 很难检测
3. 利用微信是极其愚蠢的做法,影响你自己的业务。先不说现在用着 Root+xp 微信批事没有,就算微信严格反 Root,真想抓你上个微信小号也照抓不误。
4. 容器类应用似乎也可以,不过原理不太了解。
duan602728596
2019-04-25 06:59:59 +08:00
所以搞了一台二手 iPhone 越狱抓包了
dream7758522
2019-04-25 07:07:13 +08:00
楼主说的很对,不信的话可以试一试抓学习()强国的包,
Blanke
2019-04-25 08:29:52 +08:00
justTruseMe 等类似模块一键搞定
freedomshi
2019-04-25 14:27:11 +08:00
用模拟器,不用谢。
huruwo
2019-04-28 10:47:11 +08:00
@zeevin 要看软件的 有的软件没有设置只信任系统证书就可以抓。比如抖音
loginbygoogle
2020-07-23 04:25:22 +08:00
@ysc3839 说话等于放屁,各种物理定律也是公开的,你咋不去造个原子弹?
webdesigner
2020-10-17 20:11:36 +08:00
我在安卓 10 上抓包,安装可信任 CA 后,部分 app 是没法抓到包的,比如美团外卖商家版。开启代理之后,app 直接报没有网络连接。而饿了没零售商家版就能抓到包。我正在想办法让它能够抓到美团的数据。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/558222

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX