apk-mitm
Новая утилита. CLI приложение, которое автоматически подготавливает файлы Android APK для HTTPS-проверки
Проверка HTTPS-трафика мобильного приложения с использованием прокси-сервера является самым простым способом выяснить, как оно работает. Однако с появлением Конфигурации сетевой безопасности в Android 7 и разработчиками приложений, пытающимися предотвратить атаки MITM с помощью certificate pinning, заставить приложение работать с HTTPS-прокси стало довольно сложно.
apk-mitm автоматизирует весь процесс. Все, что вам нужно сделать, это дать ему файл APK и apk-mitm будет:
Использование
Если у вас установлена последняя версия Node.js (8.2+) и Java (8+):
Если ваш файл APK называется example.apk, вы запустите:
Теперь вы можете установить example-patched[.]apk файл на ваше Android устройство и использовать прокси-сервер, типа Charles или mitmproxy, для просмотра трафика приложения.
Сама утилита:
github.com
Новая утилита. CLI приложение, которое автоматически подготавливает файлы Android APK для HTTPS-проверки
Проверка HTTPS-трафика мобильного приложения с использованием прокси-сервера является самым простым способом выяснить, как оно работает. Однако с появлением Конфигурации сетевой безопасности в Android 7 и разработчиками приложений, пытающимися предотвратить атаки MITM с помощью certificate pinning, заставить приложение работать с HTTPS-прокси стало довольно сложно.
apk-mitm автоматизирует весь процесс. Все, что вам нужно сделать, это дать ему файл APK и apk-mitm будет:
- декодировать файл APK с помощью Apktool
- изменить приложение, AndroidManifest.xml, чтобы сделать его поддающимся дебагу
- изменить конфигурацию сетевой безопасности приложения, чтобы разрешить добавленные пользователем сертификаты
- вставьте return-void коды операций, чтобы отключить логику certificate pinning
- закодировать пропатченный APK-файл с помощью Apktool
- подписать пропатченный APK-файл, используя uber-apk-signer
Использование
Если у вас установлена последняя версия Node.js (8.2+) и Java (8+):
Код:
$ npx apk-mitm <path-to-apk>
Код:
$ npx apk-mitm example.apk
✔ Decoding APK file
✔ Modifying app manifest
✔ Modifying network security config
✔ Disabling certificate pinning
✔ Encoding patched APK file
✔ Signing patched APK file
Done! Patched APK: ./example-patched[.]apkТеперь вы можете установить example-patched[.]apk файл на ваше Android устройство и использовать прокси-сервер, типа Charles или mitmproxy, для просмотра трафика приложения.
Сама утилита:GitHub - niklashigi/apk-mitm: 🤖 A CLI application that automatically prepares Android APK files for HTTPS inspection
🤖 A CLI application that automatically prepares Android APK files for HTTPS inspection - niklashigi/apk-mitm
github.com
