Как выполнить перехват пакетов в приложении Facebook?

Question

[Дмитрий Масленников]

Не получается прослушивать HTTPS трафик в приложении Facebook через Fiddler и Burp. Корневые сертификаты этих программ успешно добавлены на устройство, SSL Pinning отключен через SLL Kill Switch 2 (другие приложения, такие как Twitter, Snapchat с прикрепленными сертификатами отлично прослушиваются) и Mobile Assistant (для Burp). Web-версия Facebook работает нормально, HTTPS-трафик успешно прослушивается.

Подозреваю, что возможная проблема кроется в каком-либо сервисе аутентификации, который запускается отдельно от основного приложения, как описано в этой статье:

https://nabla-c0d3.github.io/blog/2013/08/20/inter...

Например, для Twitter и Facebook используется сервис accountsd, который отвечает за интеграцию с этими приложениями. Но, во-первых в новых версиях Kill Switch эта проблема решена, а во-вторых, пробовал выполнять убийство процесса вручную, но не работает с Facebook.

Как можно решить проблему перехвата пакетов в приложении Facebook?

Answer 1

[hOtRush]

Скорее всего это то, что называется SSL Pinning и обойти это довольно проблематично, потому что проблематично подменить сертификат, который зашит в само приложение.
https://medium.com/@appmattus/android-security-ssl...
https://www.emaro-ssl.ru/blog/ssl-pinning-for-android/
На ios можно обойти только на джейлбрекнутых прошивах https://github.com/iSECPartners/ios-ssl-kill-switch

Comments

[Дмитрий Масленников]

kill switch уже успешно выполнен. все остальные приложения, тот же twitter прекрасно прослушиваются (там вообще можно даже смотреть передачу логина и пароля, параметры x_auth_identifier и x_auth_password).

как понимаю, там есть еще какой-то слой защиты, который я пока не обошел.

[Дмитрий Масленников]

только использовалась более свежая версия kill switch из гитхаба разработчика:

https://github.com/nabla-c0d3/ssl-kill-switch2

Answer 2

[rubtsoff]

Никак! Единственное это сделать редирект протокола с https на http

Comments

[Дмитрий Масленников]

чем обоснован ваш ответ? если вы читали выше, то идет речь о перехвате пакетов из приложения, которое общается с сервером самостоятельно по протоколу https. + как писал выше, все остальные приложения с HTTPS и SSL Pinning успешно прослушиваются.

[rubtsoff]

Я раньше работал в компаний которая занималась cyber security.

[Дмитрий Масленников]

Тогда подскажите, в чем принципиальная разница между прослушиванием приложений Facebook и Twitter?

Второй успешно случается, включая коннекты к https://api.twitter.com/auth/1/xauth_password.json с прослушиванием логина и пароля (параметры x_auth_identifier и x_auth_password)

[Дмитрий Масленников]

а, нашел вероятную причину проблемы, разработчик kill switch написал "There are a few network calls initiated by classes that explicitly check the certificate".

надо отключать эти вызовы.

[hOtRush]

racinggrup, cyber security man не знает что такое mitm?)

[hOtRush]

Дмитрий Масленников, network call для проверки сертификата это что-то новое

[Дмитрий Масленников]

hOtRush, так написано на канале разработчика ssl kill switch))) там ребята нашли способ обхода этого ограничения, но пока оно сделано через одно место. если кратко, суть в том, чтобы пересобрать приложение facebook в xcode пропатчив его определенные части.

[doublench21]

racinggrup, удалось сломать ссл пиннинг фейсбука.

[Дмитрий Масленников]

doublench21, там вообще суть не в ssl-пиннинге, сейчас facebook приложение реализует свой собственный протокол проверки.

Answer 3

[doublench21]

Могу помочь с этим.

Comments

[Дмитрий Масленников]

к сожалению, сейчас у них идет лихорадочная переделка всего и вся, связанного с privacy и пользовательскими данными (после скандала с cambrige analitica). так что будем ждать, как у них все успокоится, чтобы снова разобрать)) в апреле даже модерация приложений временно приостановлена.

[Дмитрий Масленников]

doublench21 по поводу предложений по реверс-инжинирингу, напишите мне в vk @dmitry.maslennikov

[doublench21]

Дмитрий Масленников, могу скинуть apk arm/x86 с отключённым ssl-pinning. Все апи гуляет наружу с Charles/burp. Насчёт новых версий, не проверял. Но буквально месячной давности apk работает на ура.