¿El pinning del certificado protege contra Fiddler?

1

Tenemos una aplicación móvil que se conecta a nuestro servidor a través de los servicios web RESTful HTTPS. También tenemos un atacante que emula correctamente nuestra aplicación para comunicarse con nuestro servidor. Por lo tanto, asumimos que nuestro atacante puede observar y descifrar el tráfico de la aplicación utilizando una herramienta como Fiddler .

Según tengo entendido, Fiddler inserta un certificado en el medio y actúa como un proxy. Fiddler puede proporcionar al atacante una versión descifrada de la secuencia de datos.

¿Debería fijación de certificados eliminar la capacidad de un atacante de observar el tráfico HTTPS? Con nuestra aplicación móvil en libertad, tengo que asumir que la aplicación se puede instalar en un dispositivo rooteado / roto en la cárcel.

    
pregunta Edward Barnard 14.09.2015 - 20:10
fuente

1 respuesta

5

Por esta respuesta , se puede omitir la asignación de certificados en un dispositivo Android rooteado o dispositivo iOS con jailbreak.

Continuaría diciendo que creo que su enfoque de intentar asegurar su aplicación agregando seguridad del lado del cliente está condenado al fracaso. Si bien puede aumentar el nivel de examen de su aplicación mediante ofuscación y otros trucos, ya que no hay seguridad física, no puede proteger al cliente.

Debes hacer que tu API sea lo suficientemente fuerte como para soportar ataques de cualquier cliente. La única alternativa es mantener el control físico sobre los clientes para garantizar que estén protegidos (algo incómodo en una aplicación móvil).

    
respondido por el Neil Smithline 14.09.2015 - 20:26
fuente

Lea otras preguntas en las etiquetas