Lo primero que debe recordar es que Burp es un proxy HTTP (S). No hace nada con los datos que no sean HTTP (S) (OK, excepto websockets). Las aplicaciones de Android, por otro lado, pueden usar cualquier protocolo que quieran. Muchos usan HTTP (S), solo porque se ajusta al tipo de datos que están enviando, pero en realidad no es necesario.
Cuando una aplicación no usa HTTP (S), ese tráfico no aparecerá en Burp. El ejemplo más obvio de esto es el tráfico de DNS: no verás ninguna solicitud de búsqueda de DNS, incluso si estás utilizando un navegador a través de Burp.
Entonces:
- Aplicaciones que se niegan completamente a trabajar. Podrían estar usando el anclaje de certificados, pero hay dos opciones aquí. En primer lugar, buscan un certificado válido para que el sitio de destino se instale en el dispositivo. En este caso, la instalación del certificado de CA de Burp los haría funcionar de nuevo. En segundo lugar, utilizan algún tipo de anclaje personalizado, que requiere que el servidor proporcione un certificado específico o un certificado firmado por una entrada específica en la cadena de confianza. Estos no serán engañados por el certificado de CA de Burp.
- Aplicaciones que funcionan sin que se capturen paquetes. Probablemente no estén utilizando HTTP (S). Esto podría ser cosas como clientes SSH, servicios de mensajería como Whatsapp o juegos, donde la pérdida de un paquete es menos importante que la mayoría de los paquetes que llegan rápido, lo que se adaptaría mejor a una conexión de red basada en UDP que a una basada en TCP como HTTP. También pueden estar ignorando cualquier configuración de proxy que esté instalada, especialmente si solo está interceptando con una aplicación de proxy HTTP. Para ver estos datos, necesitará una herramienta como Wireshark, que puede manejar otros tipos de datos, y una tarjeta wifi que admita el modo de monitor.
- Aplicaciones que solo muestran algo de tráfico. Si el tráfico que está viendo es paquetes de estadísticas o anuncios, probablemente se clasifiquen en la clase 2 anterior: la mayoría de los sistemas de estadísticas parecen usar HTTP (S) porque es relativamente fácil de implementar en cualquier cosa, y generalmente tiene que tener algún tipo de HTTP Conexión abierta para descargar anuncios de todos modos.
- Aplicaciones que en realidad no se conectan. Hay algunas aplicaciones que parecen estar conectándose a Internet, pero en realidad no lo hacen, o solo lo hacen de manera irregular. Estas pueden incluir aplicaciones de horarios, algunos juegos (donde los puntajes altos se actualizan diariamente, por ejemplo) o cualquier cosa donde sea posible almacenar datos localmente en su mayor parte (las aplicaciones de mapas pueden almacenar el área "habitual" localmente, y hacer llamadas) críticas de lugares de interés o lugares más lejanos). En este caso, es posible que no los haya visto intentar conectarse mientras estaba mirando.
Si es posible, sugiero mirar el tráfico con Wireshark y ver qué protocolos se están utilizando, luego profundizar en los interesantes utilizando el software apropiado, teniendo en cuenta que algunos son intencionalmente difíciles de inspeccionar: paquetes cifrados de Whatsapp debe ser ilegible, de lo contrario tienen algo muy mal!