Blocco dei certificati nelle app Android

0

Ho trovato un whitepaper su aggirare il pin ssl . Se questo è vero, come possiamo implementare in modo sicuro il blocco dei certificati nelle app Android? Esistono altre soluzioni alternative oltre al blocco dei certificati?

    
posta Anonymous Platypus 20.10.2015 - 13:38
fonte

1 risposta

4

Il documento che hai collegato ai dettagli su come l'autore ha ignorato la convalida dei certificati bloccati in due modi diversi: smontando l'applicazione, rimuovendo il controllo e ricostruendo l'APK o modificando il certificato nel keystore dell'applicazione. Entrambi i metodi richiedono un alto grado di accesso all'applicazione.

Non c'è modo di proteggere completamente la tua applicazione contro questo. Questo è uno dei motivi per cui non dovresti mai fidarti del cliente.

Tuttavia, questi attacchi richiedono che l'attaccante sia in grado di sostituire l'applicazione con la versione modificata. Se l'attaccante è il proprietario del dispositivo, semplicemente non puoi impedirlo. In caso contrario, il meglio che puoi fare è fare affidamento sulla sicurezza del sistema operativo e avvisare gli utenti di non eseguire il root dei loro dispositivi.

    
risposta data 20.10.2015 - 13:49
fonte

Leggi altre domande sui tag