Tengo una aplicación de banca de código cerrado en mi teléfono unrooted de Android. Me gustaría verificar lo siguiente:
- La aplicación utiliza SSL para comunicarse con el servidor
- La aplicación verifica que el certificado SSL del servidor es de confianza
Con este fin, configuré un servidor VPN con mapache y xl2tpd . Estoy olfateando el tráfico de la red utilizando wireshark y, por lo tanto, puedo verificar que la aplicación use SSL.
Para el segundo punto, estaba pensando que simplemente podría configurar un servidor web con un certificado autofirmado para bank.com , hacer que mi teléfono use ese y ver si se queja. Por supuesto, mi servidor no responde adecuadamente, pero espero que vea Untrusted certificate como mensaje de error en la aplicación en lugar de Unknown error occurred .
Edité /etc/hosts para permitir que bank.com tuviera 127.0.0.1 y configurara mi servidor. Sin embargo, mi teléfono todavía utiliza la IP real. Entonces, aparentemente, xl2tpd no usa /etc/hosts . ¿Cómo puedo dejar que xl2tpd piense que bank.com está en 127.0.0.1 ?
O, alternativamente, ¿cómo verifico el segundo punto anterior, si hay una mejor manera?