¿Por qué no se muestra el protocolo SSL en Wireshark?

2

Estoy tratando de averiguar si algunas aplicaciones de Android con funciones de inicio de sesión son vulnerables al ataque de los hombres en el medio o no.
He configurado un proxy MITM (como atacante) en mi máquina lubuntu y configuré mi teléfono celular para que se conecte al proxy antes de conectarme al servidor de cada aplicación. Además, uso Wireshark para ver el tráfico.
Si una aplicación es vulnerable, la aplicación debería conectarse fácilmente a su servidor después del inicio de sesión exitoso y mostrar los datos en esa cuenta. También debería poder ver en Wireshark que el teléfono celular, el proxy y el servidor de la aplicación se conectaron entre sí y finalizaron el proceso de intercambio de SSL con éxito.
Ahora mi pregunta es por qué (solo para algunas aplicaciones vulnerables) puedo conectarme fácilmente al servidor de la aplicación mientras que la aplicación en sí misma no muestra ninguna advertencia al conectarse al proxy, pero no hay un paquete "terminado" o "clave de cifrado cambiada" paquete en Wireshark? En otras palabras, parece que esta aplicación está conectada a su servidor a través del proxy, por lo que es vulnerable, pero Wireshark no muestra ninguna conexión con el servidor, o la clave de cifrado cambió, o terminó el marco ; y como resultado, según la observación en Wireshark, parece que la aplicación, el proxy y el servidor no finalizan completamente el proceso de intercambio de SSL, y sigo dudando si la aplicación es realmente vulnerable (tenga en cuenta que el certificado del proxy no está configurado en el teléfono, de lo contrario, el proxy fue considerado como una parte de confianza). ¡Cualquier respuesta o idea sería útil y apreciada!

    
pregunta user3304205 16.04.2014 - 22:33
fuente

1 respuesta

1

Para saber realmente lo que está sucediendo, no debe configurar su máquina Linux como proxy sino como router . El "proxy" realmente es un proxy HTTP . Las aplicaciones que desean realizar HTTPS (HTTP-within-SSL) pueden usar la configuración del sistema y usar CONNECT para hacer que su proxy reenvíe el tráfico en ambas direcciones; pero también pueden conectarse directamente al servicio, ignorando completamente la configuración de su proxy. Es poco probable que las aplicaciones que quieran usar SSL pero no HTTPS (hagan "algo más" que HTTP dentro del túnel SSL) utilicen su proxy en absoluto.

Supongo que esto es lo que observas: con tu proxy HTTP, solo ves una parte de las comunicaciones, y no las partes en las que estás interesado.

Un Man-in-the-Middle de baja tecnología configurará un WiFi falso Punto de acceso, que será el enrutador para todos los paquetes IP intercambiados por el teléfono celular. Esto es más fácil para él que intentar convencerlo de que use un proxy HTTP personalizado, y le da más poder de ataque real.

    
respondido por el Tom Leek 17.04.2014 - 13:19
fuente

Lea otras preguntas en las etiquetas