Verificar que una aplicación de banca Android compruebe que el certificado es de confianza

0

Tengo una aplicación de banca de código cerrado en mi teléfono unrooted de Android. Me gustaría verificar lo siguiente:

  • La aplicación utiliza SSL para comunicarse con el servidor
  • La aplicación verifica que el certificado SSL del servidor es de confianza

Con este fin, configuré un servidor VPN con mapache y xl2tpd . Estoy olfateando el tráfico de la red utilizando wireshark y, por lo tanto, puedo verificar que la aplicación use SSL.

Para el segundo punto, estaba pensando que simplemente podría configurar un servidor web con un certificado autofirmado para bank.com , hacer que mi teléfono use ese y ver si se queja. Por supuesto, mi servidor no responde adecuadamente, pero espero que vea Untrusted certificate como mensaje de error en la aplicación en lugar de Unknown error occurred .

Edité /etc/hosts para permitir que bank.com tuviera 127.0.0.1 y configurara mi servidor. Sin embargo, mi teléfono todavía utiliza la IP real. Entonces, aparentemente, xl2tpd no usa /etc/hosts . ¿Cómo puedo dejar que xl2tpd piense que bank.com está en 127.0.0.1 ?

O, alternativamente, ¿cómo verifico el segundo punto anterior, si hay una mejor manera?

    
pregunta Keelan 24.01.2016 - 00:21
fuente

1 respuesta

1

Un proxy es mejor para eso. Creo que si configura este proxy pero omitir la configuración del certificado SSL debe obtener su respuesta.

    
respondido por el Neil Smithline 24.01.2016 - 16:01
fuente

Lea otras preguntas en las etiquetas