Sto cercando di capire se alcune applicazioni Android con funzioni di accesso sono vulnerabili agli attacchi man in the middle o meno.
Ho impostato un proxy MITM (come utente malintenzionato) sulla mia macchina lubuntu e ho impostato il mio cellulare per connettersi al proxy prima di collegarmi al server di ciascuna app. Inoltre, io uso Wireshark per vedere il traffico.
Se un'app è vulnerabile, l'app dovrebbe connettersi facilmente al suo server dopo che l'accesso è andato a buon fine e mostrare i dati in quell'account. Dovrei anche essere in grado di vedere in Wireshark che il cellulare, il proxy e il server dell'app sono stati collegati tra loro e hanno completato con successo il processo di handshake SSL.
Ora la mia domanda è perché (solo per alcune app vulnerabili) posso connettermi facilmente al server dell'app mentre l'app stessa non mostra alcun avvertimento quando ci si connette al proxy, ma non c'è nessun pacchetto "finito" o "chiave cifrata" pacchetto in Wireshark? In altre parole, sembra che questa app sia connessa al suo server attraverso il proxy, quindi è vulnerabile, ma Wireshark non mostra alcuna connessione con il server, o la chiave di cifratura cambiata, o il frame finito ; e come risultato, basato sull'osservazione in Wireshark, sembra che l'app, il proxy e il server non completino completamente il processo di handshake SSL, e sono ancora dubbioso se l'app è davvero vulnerabile (si noti che il certificato del proxy non è configurato sul telefono, in caso contrario, il proxy è stato considerato come parte fidata). Qualsiasi risposta o idea sarebbe utile e apprezzata!