Estoy tratando de averiguar si algunas aplicaciones de Android con funciones de inicio de sesión son vulnerables al ataque de los hombres en el medio o no.
He configurado un proxy MITM (como atacante) en mi máquina lubuntu y configuré mi teléfono celular para que se conecte al proxy antes de conectarme al servidor de cada aplicación. Además, uso Wireshark para ver el tráfico.
Si una aplicación es vulnerable, la aplicación debería conectarse fácilmente a su servidor después del inicio de sesión exitoso y mostrar los datos en esa cuenta. También debería poder ver en Wireshark que el teléfono celular, el proxy y el servidor de la aplicación se conectaron entre sí y finalizaron el proceso de intercambio de SSL con éxito.
Ahora mi pregunta es por qué (solo para algunas aplicaciones vulnerables) puedo conectarme fácilmente al servidor de la aplicación mientras que la aplicación en sí misma no muestra ninguna advertencia al conectarse al proxy, pero no hay un paquete "terminado" o "clave de cifrado cambiada" paquete en Wireshark? En otras palabras, parece que esta aplicación está conectada a su servidor a través del proxy, por lo que es vulnerable, pero Wireshark no muestra ninguna conexión con el servidor, o la clave de cifrado cambió, o terminó el marco ; y como resultado, según la observación en Wireshark, parece que la aplicación, el proxy y el servidor no finalizan completamente el proceso de intercambio de SSL, y sigo dudando si la aplicación es realmente vulnerable (tenga en cuenta que el certificado del proxy no está configurado en el teléfono, de lo contrario, el proxy fue considerado como una parte de confianza). ¡Cualquier respuesta o idea sería útil y apreciada!