Capturando el tráfico de iTunes con Wireshark - pregunta de descifrado SSL

3

Estoy jugando con Wireshark para capturar los paquetes de activación para un iPhone y algunas otras cosas, sin embargo, el tráfico está cifrado. Debería haber una clave SSL privada en algún lugar de mi computadora para descifrar este tráfico, pero he pasado horas tratando de encontrarlo sin suerte. Estoy en OSX Mavericks, la última versión de iTunes. Estaría muy agradecido si alguien pudiera ayudar.

    
pregunta asd 14.08.2014 - 01:23
fuente

1 respuesta

4

Cracking ese túnel es un ejercicio no trivial. La respuesta corta es que el almacén de claves se encuentra en el archivo /private/var/keybags/systembag.kb y se recupera con el servicio del núcleo llamado AppleEffaceableStorage debajo de la etiqueta del casillero \BAG1 . Esta es la arquitectura:

Las propias claves se encriptan y se suman mediante el uso de AES y HMAC. Sería un gran proyecto para usted descifrar la secuencia. Sería mucho mejor encontrar el búfer de memoria donde el proceso del kernel almacena el flujo descifrado y solo monitorear el búfer. Creo que el proceso crítico se llama keybagd (demonio keybag). También hay una extensión del kernel llamada AppleKeyStore que tiene un subcomponente llamado MobileKeyBag . Uno o todos esos procesos poseerán un búfer que contendrá el tráfico de texto sin cifrar.

    
respondido por el Tyler Durden 14.08.2014 - 04:12
fuente

Lea otras preguntas en las etiquetas