Как отключить ssl-pinning в приложении, которое написано на React Native?

Question

[Алексей Фирсаев]

Как обойти шифрование трафика в rossgram.apk?
Если ли у кого уже готовый apk?
Нужно вытащить запросы которые отправляет приложение.

Comments

[Василий Банников]

Скажи что такое "ssl pinning rossgram" и будет тебе ответ)

[Алексей Фирсаев]

Василий Банников, обход шифрования ssl запросов, для перехвата через прокси

[Василий Банников]

Алексей Фирсаев, но если я загуглю "ssl pinning", то там наоборот будет - закрепление ssl-сертификата для защиты от перехвата запросов.

Кстати, а зачем вам вообще с этой помойкой что-то делать?

[Алексей Фирсаев]

Василий Банников, исправил вопрос, а на счет помойки, есть некоторые идеи)

Answer 1

[Василий Банников]

Декомпилируешь apk.
Затем ищешь место в коде, где включается ssl-pinning и добавляется сертификат - скорее всего там будет фигурировать вызов метода certificatePinner() класса OkHttpClient.
Тебе нужно вызов этого метода убрать.
Затем собираешь apk обратно.

Но это зависит ещё от того, как именно приложение rossgram реализовано - это я описал пример, если оно написано на java/kotlin

UPD: rossgram написан на React Native. Сейчас ещё немного покопаю, как можно декомпилировать его

UPD2: для декомпиляции React Native приложений есть https://github.com/numandev1/react-native-decompiler
Тебе нужно достать из apk файл index.android.bundle - для этого используй apktool

UPD3: react-native-decompiler не может это декомпилировать

Comments

[Алексей Фирсаев]

Совсем ничего не понятно, как-то можно отключить или нет?

[Василий Банников]

Алексей Фирсаев, как-то можно, но сложно