Как перехватывать и расшифровывать TLSv1.2?

Question

[Юлия Коваленко]

Необходимо перехватывать шифрованный трафик мобильного приложения по протоколу TLSv1.2 и его расшифровывать.
В приложении wireshark для расшифровывания трафика необходим приватный ключ сервера, которого у меня нет.
Есть способ логирования симмитричных ключей и использования их в wireshark, но это работает только в браузерах.
Крутое приложение Fiddler, но TLS оно не ловит, только http, https.

Подскажите какие-нибудь способы решения данной задачи.

Answer 1

[zano3adev]

Недавно была задача, анализировать и подменить трафик(TLS) windows приложения.
1. Составил список доменов(использовал wireshark) к которым идут запросы через TLS.
2. Добавил домены в hosts с локальным ip.
3. Создал самоподписанные сертификаты на каждый домен.
4. Добавил сертификаты в доверенные корневые сертификаты.
5. Поднял вебсервер(nginx) с сертификатами как прокси и вел логи всех запросов.
6. Поменял некоторые данные отдаваемые вебсервером.

По теме: sslstrip, sslsniff

Comments

[Юлия Коваленко]

Интересно. Спасибо)

Answer 2

[Rou1997]

Есть кардинально иной способ - помимо сниффера применять дизассемблер, декомпилятор и отладчик (исполняемого кода), какие именно - зависит от ОС и того на чем написано приложение.
Таким образом можно обойти любое шифрование "запросов" и "ответов".

Крутое приложение Fiddler, но TLS оно не ловит, только http, https.

Потому что он работает на уровне HTTP, а значит, только с HTTP, вам же требуется на уровне TCP.

Comments

[Юлия Коваленко]

Этот способ я уже прошла. Не подходит:)

[Rou1997]

Юлия Коваленко: Да ладно? Существует исполняемый код, который не поддается отладке, декомпиляции и даже дизассемблированию? Что это за код?

[Юлия Коваленко]

Rou1997: всё поддаётся. Но в моей задаче лучше бы сделать с расшифровкой tls трафика)

[Rou1997]

Юлия Коваленко: Так если вам достался APK то все равно он же не только с сетью работает, во-вторых коль скоро это TCP, то там и сам алгоритм может иметь большую ценность если обеспечивает надежность связи, например в программах вроде Skype, ICQ, TeamViewer очень надежные алгоритмы поверх TCP, а алгоритм вы уже не "отсниффите", напишете свой алгоритм, а он будет "кривым".
Реверс-инжиниринг исполняемого кода не так уж и сложен, ялично полностью декомпилировал приложение Android, в котором 12 тысяч строк кода, сейчас на руках полный код Java, а еще там была библиотека JNI (натив), ее не декомпилировал но защиту в ней сломал и потом еще на уровне ассемблера ее подправлю чтоб не выявили сходство, ну, а вы просто некомпетентны и те кто говорит что все это unreal - тоже.

[Юлия Коваленко]

Rou1997: я задала конкретный вопрос. Высказывать ваше мнение о моей компетентности я не просила. Я поздравляю вас, что вы смогли декомпилировать приложение. Но на мой вопрос ответить вы так и не смогли.

[Rou1997]

Юлия Коваленко: Вы спросили, как перехватить "трафик TLS", я вам ответил как его перехватить, я бы именно так и сделал и проблему бы решил, про свой опыт декомпиляции я к тому говорю, что я стараюсь решать любые проблемы в программировании с которыми ко мне обращаются, а обращаются ко мне почти с любыми, и решаю их успешно, вам следует поучиться и послушать советы.