MITM può reindirizzare il mio HttpsURLConnection?

Question

MITM può reindirizzare il mio HttpsURLConnection?

#1 da (1 voti)

0

Scenario: supponiamo che un MITM sia stato in grado di installare un certificato autofirmato simulato sul mio client (app per Android), invece del certificato autofirmato del mio server.

Quando ora la mia app tenta di connettersi al server, utilizzando:

URL url = new URL("https://www.hardcoded.unchangeable.uri.toserver");
HttpsURLConnection urlConnection = (HttpsURLConnection)url.openConnection();
urlConnection.setSSLSocketFactory(context.getSocketFactory());
urlConnection.connect();
...

Il MITM è in grado di reindirizzare la richiesta al suo server?

Se non sono al sicuro, vedrei solo un'eccezione di stretta di mano, no?

tls certificates

posta DividedBy0 02.04.2016 - 19:52

fonte

1 risposta

Leggi altre domande sui tag tls certificates

Quali sono le buone norme per l'archiviazione delle password? [duplicare] In che modo SSLStrip acquisisce il traffico?

score 1 · Accepted Answer

Quindi assumiamo che l'autore dell'attacco abbia un certificato che il tuo dispositivo considererebbe "attendibile" e che è in grado di intercettare e modificare il traffico dal tuo dispositivo prima che raggiunga il server.

In tal caso, a livello di base, è probabile che potrebbero reindirizzare il client a un server sotto il loro controllo. Quando il tuo dispositivo effettua la richiesta DNS per risolvere il " collegamento " l'aggressore MITM può intercettarlo e rispondere con un indirizzo IP sotto il loro controllo.

Il client avvia quindi una connessione HTTPS con il server degli hacker. Poiché l'autore dell'attacco ha piazzato il falso certificato firmato sul tuo dispositivo (supponendo che abbiano messo una radice attendibile sul dispositivo) possono semplicemente firmare il certificato sul server che reindirizzano il client a quella radice e il tuo dispositivo lo vedrà come "fidato".

Il modo migliore per mitigare questo attacco è fare in modo che l'applicazione faccia uso di "pinning del certificato" in cui si fidi solo di certificati specifici, invece di fidarsi di qualsiasi certificato con il nome host corretto, che è stato firmato da una radice attendibile certificato che è installato sul dispositivo.