Perché l'handshake SSL non viene mostrato in Wireshark?

2

Sto cercando di capire se alcune applicazioni Android con funzioni di accesso sono vulnerabili agli attacchi man in the middle o meno.
Ho impostato un proxy MITM (come utente malintenzionato) sulla mia macchina lubuntu e ho impostato il mio cellulare per connettersi al proxy prima di collegarmi al server di ciascuna app. Inoltre, io uso Wireshark per vedere il traffico.
Se un'app è vulnerabile, l'app dovrebbe connettersi facilmente al suo server dopo che l'accesso è andato a buon fine e mostrare i dati in quell'account. Dovrei anche essere in grado di vedere in Wireshark che il cellulare, il proxy e il server dell'app sono stati collegati tra loro e hanno completato con successo il processo di handshake SSL.
Ora la mia domanda è perché (solo per alcune app vulnerabili) posso connettermi facilmente al server dell'app mentre l'app stessa non mostra alcun avvertimento quando ci si connette al proxy, ma non c'è nessun pacchetto "finito" o "chiave cifrata" pacchetto in Wireshark? In altre parole, sembra che questa app sia connessa al suo server attraverso il proxy, quindi è vulnerabile, ma Wireshark non mostra alcuna connessione con il server, o la chiave di cifratura cambiata, o il frame finito ; e come risultato, basato sull'osservazione in Wireshark, sembra che l'app, il proxy e il server non completino completamente il processo di handshake SSL, e sono ancora dubbioso se l'app è davvero vulnerabile (si noti che il certificato del proxy non è configurato sul telefono, in caso contrario, il proxy è stato considerato come parte fidata). Qualsiasi risposta o idea sarebbe utile e apprezzata!

    
posta user3304205 16.04.2014 - 22:33
fonte

1 risposta

1

Per sapere veramente cosa sta succedendo, non dovresti impostare la tua macchina Linux come proxy ma come router . Il "proxy" è in realtà un proxy HTTP . Le applicazioni che desiderano eseguire HTTPS (HTTP-within-SSL) possono utilizzare le impostazioni di sistema e utilizzare un CONNECT metodo per far inoltrare il tuo proxy al traffico in entrambe le direzioni; ma possono anche connettersi direttamente al servizio, ignorando completamente le impostazioni del proxy. È improbabile che le applicazioni che desiderano utilizzare SSL ma non HTTPS (che fanno "qualcos'altro" di HTTP all'interno del tunnel SSL) non utilizzino affatto il proxy.

Suppongo che questo sia ciò che osservi: con il tuo proxy HTTP, vedi solo parte delle comunicazioni, e non le parti che ti interessano.

Un tipico low-tech Man-in-the-Middle configurerà un falso WiFi punto di accesso, che sarà il router per tutti i pacchetti IP scambiati dal telefono cellulare. Questo è per lui più facile che cercare di convincerti a usare un proxy HTTP personalizzato, e questo gli dà più potere d'attacco.

    
risposta data 17.04.2014 - 13:19
fonte

Leggi altre domande sui tag