Ho un'app di banking di origine chiusa sul mio telefono Android senza root . Vorrei verificare quanto segue:
- L'app utilizza SSL per comunicare con il server
- L'app verifica che il certificato SSL del server sia attendibile
A tal fine ho creato un server VPN con racoon e xl2tpd . Sto sniffando il traffico di rete usando wireshark e posso quindi verificare che l'app utilizzi SSL.
Per il secondo punto, stavo pensando che avrei potuto semplicemente configurare un server web con un certificato autofirmato per bank.com , rendere il mio telefono utilizzare quello e vedere se si lamenta. Naturalmente, il mio server non risponderà in modo adeguato, ma spero di vedere Untrusted certificate come messaggio di errore nell'app anziché Unknown error occurred .
Ho modificato /etc/hosts per lasciare che bank.com abbia 127.0.0.1 e configurare il mio server. Tuttavia, il mio telefono utilizza ancora l'IP attuale. Quindi, apparentemente, xl2tpd non usa /etc/hosts . Come posso lasciare che xl2tpd pensi che bank.com sia a 127.0.0.1 ?
Oppure, in alternativa, come posso verificare il secondo punto sopra, se esiste un modo migliore?