Возможен ли перехват tcp tls траффика в незашифрованном виде напрямую с устройства?

Question

[Zvenem]

Собственно, вопрос в шапке. Reverse proxy типа burp suite proxy или mitmproxy.
Если такое вообще возможно, то посоветуйте утилиту, пожалуйста.

Answer 1

[Vamp]

Перехват невозможен, так как шифрование трафика производится на уровне приложения, а не ОС. Ваш единственный способ перехвата - mitm. Но если приложение использует certificate/public key pinning, то и mitm вам не поможет.

Answer 2

[Валентин]

Наверно я не открою тайну, но в современном мире tls идёт только на участке балансировщик-приложение. А вот от балансера до непосредственно сервера приложений открыто все, и даже несколько раз зеркалируется на съемники-анализаторы, проходят dpi и т. д. Такая же свобода творится в самом пользовательском устройстве при перемещении информации от действий пользователя до стека tcp/ip.

Comments

[Zvenem]

Спасибо. Тогда появляется вопрос чем можно отследить tcp траффик

[Валентин]

Zvenem, что значит отследить? Берёшь снифер и снимаешь на нешифрованном участке

[Zvenem]

Валентин,собственно, вопрос появился в результате того, что сниффера я не нашёл( Но в любом случае спасибо за помощь.

[Vamp]

tcpdump, tshark

[Сайпутдин Омаров]

Wireshark или tcpdump

[Vamp]

Валентин, полагаю, автор вопроса не имеет контроля над приложением, но очень хочет отреверсить его протокол. Был бы доступ к нешифрованному участку (к серверу, по сути), то и вопроса бы не возникло.

[Валентин]

Vamp, ну в изначальном вопросе не звучало ни про какие приложения, ни по реверс. Да и вопрос был про перехват данных, он может решиться без реверсинга патченьем (например, патчем в системный вызов/библиотеку)

Answer 3

[iddqda]

Ну это смотря какое приложение этот TLS организует и поддерживает оно такой mitm и нет
например Firefox и Chromе кладут сессионный ключ в файл указанный в переменной окружения SSLKEYLOFILE
А wireshark умеет работать с этим ключом