为何开放的 Android 不支持 MIMT,反而封闭的 iOS 支持呢?

2020-07-10 11:17:29 +08:00
 b1iy

iOS 上,Surge 、QuanX 等借助 Man-in-the-middle attack(MITM) ,实现了一系列的骚操作。 反观 Android,却在 7.0 时推出了网络安全配置,基本是封堵了 Surge 一类的 App 。

望大佬们不吝赐教

参考: https://developer.android.com/training/articles/security-config

3820 次点击
所在节点    问与答
22 条回复
wellsc
2020-07-10 11:18:48 +08:00
这个开放不开放没关系,和技术选型有关系
woodensail
2020-07-10 11:19:56 +08:00
所以安卓机做测试的时候就抓不了包。简直是智障一般的操作。
celadevra
2020-07-10 11:39:26 +08:00
不考虑开发者和企业内部用 configurator 和自制证书装应用,iOS 只有 App Store 一条分发途径,恶意应用一被发现,换一套身份的成本高到可以阻止大部分有这个想法的人。有这个前提,不堵死开发者的路,不会影响系统的安全,说不定还能给自己的系统开发带来一些新的想法。

Android 只要用户手指一抖给权限,随便一个 2048 小游戏都可以安装 apk 包。所以它选择了在系统层面以最坏的恶意想象尽可能多可能的攻击场景并且把它们堵住。

也算是两家对开放 /安全这对矛盾的理解和实现的思路不同,不同的平台环境造就了不同的管理策略。

为什么某一段时期英美银行可以只用 HTTPS 登录,国内银行就得什么安全证书什么 U 盾全装上,也是网络环境不同。HTTPS 简单优雅,经不住刚几个月网龄的用户为了看个擦边球就随手装根证书,更防不了 ISP 层面的劫持。也不能就说国内银行心态封闭或者技术力不行。
warcraft1236
2020-07-10 14:02:37 +08:00
安卓可以,只不过是把控制权交给了 APP,你抓不了包应该找你的开发让他去添加设置,而不是说安卓垃圾
Blanke
2020-07-10 14:14:25 +08:00
楼上说安卓机器抓不了包的,是在搞笑吗
yukiww233
2020-07-10 14:21:13 +08:00
mitm 的工具比较少,感觉是收益问题吧,开发成本不算低,目前生态下较难获得稳定的购买和订阅收入
另外 说抓不了包的是什么鬼
lshero
2020-07-10 14:21:47 +08:00
@woodensail 自己的 APP 配置一下 network_security_config,别人的 APP root 一下手机挪动一下证书就好了
woodensail
2020-07-10 14:44:11 +08:00
顺便一提
@lshero 我是做网页的,没机会配置微信。而且测试的手机也不会同意给我 root 。
woodensail
2020-07-10 14:45:13 +08:00
@warcraft1236 我没发要求第三方软件开发者为我开放证书。
woodensail
2020-07-10 14:47:40 +08:00
其实问题也不大就是了,一般需要抓包的都不是兼容性问题。所以后来就要求测试只测 ios 。安卓只做兼容性回归即可。
幸好 ios 能抓包。
warcraft1236
2020-07-10 15:01:45 +08:00
@woodensail 没毛病,随随便便抓包第三方程序本来就不是合理需求。不能随随便便抓包才是正常的,这个事我站安卓
lshero
2020-07-10 15:13:15 +08:00
@woodensail 那直接用微信的那个调试工具看网页的请求不是更方便吗?
woodensail
2020-07-10 15:16:59 +08:00
@warcraft1236 也是,所以 root 才是安卓测试机的正确使用方式
woodensail
2020-07-10 15:17:15 +08:00
@lshero 哪个?
lshero
2020-07-10 16:33:22 +08:00
woodensail
2020-07-10 16:59:11 +08:00
@lshero 这个是基于 weinre 的,我之前就一直在用 weinre,在大部分情况下能解决问题,但是不是所有请求都抓得到,毕竟这是通过页面内部 js 进行抓包的。
charlie21
2020-07-10 18:06:18 +08:00
说好的技术改变世界呢.gif
dingwen07
2020-07-10 18:47:19 +08:00
如果可以 那国内某些 app 可能就会引导用户去安装自己的根证书 幸亏安卓根证书和 VPN 提示不像 iOS NE 那样能隐藏
akira
2020-07-10 19:20:36 +08:00
Man-in-the-middle attack 对用户是好是坏
VYSE
2020-07-10 19:56:03 +08:00
Android 上 Http Catcher 不就是改包的...
只不过 iOS 生态还是大量 Trust 系统 CA 库, Android 生态早就各种内嵌 CA 了或用 network_security_config 禁用用户自添加 CA 了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/688805

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX