¿Mitigación del asesino de confianza de SSL de Android?

1

He implementado el anclaje SSL en la aplicación de Android, pero puedo omitir el uso de SSL killer killer. Estoy buscando alguna solución para poder detectar o prevenir tales ataques. Una solución es buscar la raíz y luego desinstalar la aplicación porque el asesino de confianza SSL requiere privilegios de raíz.

¿Hay alguna otra solución además de esto?

    
pregunta Airbourne 14.02.2017 - 16:48
fuente

1 respuesta

2

Android SSL-TrustKiller no funciona simplemente colocando una nueva CA raíz de confianza en el almacén de confianza, ya que una aplicación podría proteger contra esto mediante el pin, como lo hace. En su lugar, SSL-TrustKiller parchea la API SSL utilizada por el programa para que la forma habitual de anclaje ya no funcione, pero la aplicación no lo notará.

Si bien puede haber una forma de evitar SSL-TrustKiller mediante el uso de formas poco comunes para fijar un certificado que no están cubiertos por los parches API, es imposible encontrar una solución general contra la intercepción TLS siempre que el usuario posea la sistema (es decir, la raíz). Tal usuario podría, por ejemplo, modificar su aplicación y deshabilitar el código para fijar o agregar enlaces en la aplicación para obtener el texto sin formato antes del cifrado.

    
respondido por el Steffen Ullrich 14.02.2017 - 17:47
fuente

Lea otras preguntas en las etiquetas