Verifica che un'applicazione bancaria Android controlli che il certificato è attendibile

0

Ho un'app di banking di origine chiusa sul mio telefono Android senza root . Vorrei verificare quanto segue:

  • L'app utilizza SSL per comunicare con il server
  • L'app verifica che il certificato SSL del server sia attendibile

A tal fine ho creato un server VPN con racoon e xl2tpd . Sto sniffando il traffico di rete usando wireshark e posso quindi verificare che l'app utilizzi SSL.

Per il secondo punto, stavo pensando che avrei potuto semplicemente configurare un server web con un certificato autofirmato per bank.com , rendere il mio telefono utilizzare quello e vedere se si lamenta. Naturalmente, il mio server non risponderà in modo adeguato, ma spero di vedere Untrusted certificate come messaggio di errore nell'app anziché Unknown error occurred .

Ho modificato /etc/hosts per lasciare che bank.com abbia 127.0.0.1 e configurare il mio server. Tuttavia, il mio telefono utilizza ancora l'IP attuale. Quindi, apparentemente, xl2tpd non usa /etc/hosts . Come posso lasciare che xl2tpd pensi che bank.com sia a 127.0.0.1 ?

Oppure, in alternativa, come posso verificare il secondo punto sopra, se esiste un modo migliore?

    
posta Keelan 24.01.2016 - 00:21
fonte

1 risposta

1

Un proxy è meglio per questo. Penso che se configuri questo proxy ma salta la configurazione del certificato SSL dovresti ottenere la risposta.

    
risposta data 24.01.2016 - 16:01
fonte

Leggi altre domande sui tag