E 'possibile estrarre e riutilizzare l'API di un'app di mobile banking [chiusa]

2

Sono a conoscenza delle tecniche di base utilizzate per il reverse engineering e per estrarre informazioni significative al fine di riutilizzare un'API per le applicazioni.

Tuttavia non sono completamente abile con le tecniche avanzate.

È ragionevolmente possibile estrarre le informazioni API per riutilizzarle. In generale chiedo come sono consapevole che tutte le app sono create in modo diverso.

Sto pensando che il problema più grande sarebbe se ci fosse qualche offuscamento avanzato del codice.

Detto questo, è possibile che il codice di lettura non sia richiesto. Se potessi semplicemente MITM la connessione SSL, potrei capire l'API. Avrei bisogno di cambiare il certificato SSL nell'app se esiste. Ciò cambierebbe comunque la firma APK.

    
posta jim 16.12.2015 - 10:24
fonte

1 risposta

2

Sì, il MITM è la strada da percorrere.

Reverse-Engineer possibile Certificate-Pinning

Dovrai prima modificare il certificato. Presumo che ogni app bancaria ragionevole l'abbia bloccata. Crea il tuo certificato e cambialo. Rimuovi la firma dal file APK in modo che Android la installerà.

Reindirizza al tuo server MITM

Dovrai reindirizzare le richieste dall'app al tuo server MITM. Puoi cambiare il nome dell'host nell'app, ma il modo più semplice è annusare i server a cui si connette l'app e impostare il tuo DNS (può essere fatto con qualsiasi router di casa non economico o strumenti di Windows).

CA principale

Se il certificato non è firmato da una CA radice Android attendibile, sarà necessario aggiungere il certificato di firma alle CA radice del telefono. Non so come farlo in particolare, ma Google mi aiuterà.

Imposta il server MITM

Suggerirei che il tuo server MITM tenga traccia di tutto il traffico, sembra essere il modo più semplice per me. Ma potresti anche usare uno sniffer di rete (ad es. Wireshark) e decifrare il traffico con il tuo certificato.

Se Android installa l'app (abilita l'installazione da fonti non attendibili), qualsiasi cosa dovrebbe funzionare.

    
risposta data 16.12.2015 - 11:52
fonte

Leggi altre domande sui tag