Estoy tratando de mitigar una aplicación de Android con fines de investigación (está diseñada para romperse).
Estoy usando Burp como un proxy de ataque y ya exporté el certificado de CA de Burp y lo importé a la tienda de CA de Android.
También probé 3 herramientas diferentes que prometen romper la fijación de certificados (Android-SSLTrustKiller y otros).
Sin embargo, cada vez que configuro mi Burp como proxy, la aplicación produce el siguiente error en logcat:
09-14 20:18:07.446: W/System.err(2478): javax.net.ssl.SSLHandshakeException:
checkServerTrusted: Expected public key: 30820122300d06092a864886f70d0......
Mi mejor suposición es que el "Entorno" de Java está usando una configuración de certificado diferente a la del resto del sistema operativo Android.
Ya puedo decodificar el navegador o los mapas de Google bien.
Entonces, ¿cómo puedo hacer que Java ignore la fijación de certificados?