Ho trovato un whitepaper su aggirare il pin ssl . Se questo è vero, come possiamo implementare in modo sicuro il blocco dei certificati nelle app Android? Esistono altre soluzioni alternative oltre al blocco dei certificati?
Ho trovato un whitepaper su aggirare il pin ssl . Se questo è vero, come possiamo implementare in modo sicuro il blocco dei certificati nelle app Android? Esistono altre soluzioni alternative oltre al blocco dei certificati?
Il documento che hai collegato ai dettagli su come l'autore ha ignorato la convalida dei certificati bloccati in due modi diversi: smontando l'applicazione, rimuovendo il controllo e ricostruendo l'APK o modificando il certificato nel keystore dell'applicazione. Entrambi i metodi richiedono un alto grado di accesso all'applicazione.
Non c'è modo di proteggere completamente la tua applicazione contro questo. Questo è uno dei motivi per cui non dovresti mai fidarti del cliente.
Tuttavia, questi attacchi richiedono che l'attaccante sia in grado di sostituire l'applicazione con la versione modificata. Se l'attaccante è il proprietario del dispositivo, semplicemente non puoi impedirlo. In caso contrario, il meglio che puoi fare è fare affidamento sulla sicurezza del sistema operativo e avvisare gli utenti di non eseguire il root dei loro dispositivi.
Leggi altre domande sui tag reverse-engineering android certificate-pinning