Ho un'app di banking di origine chiusa sul mio telefono Android senza root . Vorrei verificare quanto segue:
- L'app utilizza SSL per comunicare con il server
- L'app verifica che il certificato SSL del server sia attendibile
A tal fine ho creato un server VPN con racoon e xl2tpd . Sto sniffando il traffico di rete usando wireshark e posso quindi verificare che l'app utilizzi SSL.
Per il secondo punto, stavo pensando che avrei potuto semplicemente configurare un server web con un certificato autofirmato per bank.com
, rendere il mio telefono utilizzare quello e vedere se si lamenta. Naturalmente, il mio server non risponderà in modo adeguato, ma spero di vedere Untrusted certificate
come messaggio di errore nell'app anziché Unknown error occurred
.
Ho modificato /etc/hosts
per lasciare che bank.com
abbia 127.0.0.1
e configurare il mio server. Tuttavia, il mio telefono utilizza ancora l'IP attuale. Quindi, apparentemente, xl2tpd non usa /etc/hosts
. Come posso lasciare che xl2tpd pensi che bank.com
sia a 127.0.0.1
?
Oppure, in alternativa, come posso verificare il secondo punto sopra, se esiste un modo migliore?