¿Puede una aplicación deshonesta secuestrar una sesión ssl de otra aplicación en el mismo teléfono?

Navega tus respuestas
0

Hemos estado discutiendo un posible vector de ataque donde una aplicación deshonesta con derechos de root podría secuestrar la sesión ssl legítima de otra aplicación local y transmitir sus propios datos sin que el servidor pueda detectarla (Editar: nuestra aplicación usa ssl cert pinning).

  • ¿Qué debería hacer la aplicación deshonesta para lograrlo?
  • ¿Hay casos documentados (especialmente para Android)?
  • ¿Cómo podríamos evitar esto?

(Lo sé, la regla de oro es que no hay protección si el atacante tiene acceso de root, pero nos preguntamos si esto fue / podría ser explotado de una manera práctica)

    
pregunta Bachi 25.02.2014 - 13:49
fuente

2 respuestas

1

Sería posible. La aplicación podría actuar como un proxy ssl. Por ejemplo, si tuviera que navegar a google.com, la aplicación de proxy ssl recuperaría el certificado ssl de googles. El proxy ssl le suministraría su propio certificado de CA generado. Esto generaría una advertencia ssl en su navegador. Sin embargo, si la aplicación instalara su propio certificado ca generado para certificados raíz de confianza, no mostraría ningún error ssl. Por lo tanto no detectarías que tu conexión fuera secuestrada. En cuanto a los casos documentados no he visto nada como esto. No sé lo suficiente sobre el sistema operativo Android para evitar esto, pero estoy seguro de que habría formas.

    
respondido por el Tim Jonas 25.02.2014 - 16:52
fuente
0

Agregando a lo que Tim dijo, creo que estás completamente seguro siempre y cuando la fijación del certificado se haga correctamente y el sistema operativo del teléfono sea "confiable" (si el teléfono está rooteado, todas las apuestas están desactivadas).

    
respondido por el ashishb 06.03.2014 - 08:22
fuente

Lea otras preguntas en las etiquetas

Servidor de aplicaciones - Servidor de seguridad de la base de datos [cerrado] ¿Es html escapar lo suficiente como para mitigar todo xss, si html se generará solo en el lado del cliente?