Sto scherzando con Wireshark per acquisire i pacchetti di attivazione per un iPhone e altre cose, tuttavia il traffico è crittografato. Dovrebbe esserci una chiave SSL privata da qualche parte sul mio computer per decifrare questo traffico, ma ho passato ore a cercare di trovarlo senza fortuna. Sono su OSX Mavericks, l'ultima build di iTunes. Sarei molto grato se qualcuno potesse dare una mano.
Catturare il traffico di iTunes con Wireshark - domanda di decodifica SSL
1 risposta
4
Craccare quel tunnel è un esercizio non banale. La risposta breve è che il keystore si trova nel file /private/var/keybags/systembag.kb e recuperato con il servizio kernel chiamato AppleEffaceableStorage sotto il tag locker \BAG1 . Questa è l'architettura:
Le chiavi stesse sono ulteriormente crittografate e con checksum utilizzando AES e HMAC. Sarebbe un grande progetto per te decifrare il flusso. Sarebbe molto meglio trovare il buffer di memoria in cui il processo del kernel sta memorizzando il flusso decrittografato e semplicemente monitorando il buffer. Penso che il processo critico si chiami keybagd (daemon keybag). C'è anche un'estensione del kernel chiamata AppleKeyStore che ha un sottocomponente chiamato MobileKeyBag . Uno o tutti quei processi avranno un buffer contenente il traffico di testo non crittografato.
risposta data
14.08.2014 - 04:12
fonte