(5 vote(s), 
Loading...Micode a partagé une vidéo plutôt intéressante sur une problématique que j'ai déjà rencontré, à savoir l'interception du trafic HTTPS d'une application Android.
Même si la sécurité n'est pas monstrueuse à contourner il existe encore pas mal d'applications, bancaire y compris, qui n'utilise pas de vérification de l'empreinte du certificat.
Alors oui ça simplifie grandement l'investigation mais avec un point d'accès ouvert c'est juste complètement dangereux. Un peu de spoofing DNS et hop vous donnez vos identifiants à n'importe qui.
Outre Charles vous pouvez utiliser Burp qui réalise le même type d'interception, c'est un logiciel utilisé dans les audits / pentesting.
La plus grosse "difficulté" reste dans la reconstruction du fichier APK pour moi aujourd'hui. Par manque de temps je n'ai pas creusé... Je me sers de cette méthode pour m'interfacer avec des URL d'API non documentées, comme une application météo.
C'est aussi un bon moyen de savoir ce qui transite dans une application tierce... souvent une capture de trame tcpdump sur mon routeur WiFi suffisait mais avec la généralisation du HTTPS cette méthode est caduque.
Les vidéos de défi de Micode sont sympa, mais comme d'habitude on ne récupère pas le code et c'est bien dommage.
3 commentaires
Pour éviter tout le travail avec l'APK (très compliqué)
Je conseille de rooter le téléphone test, et d'utiliser le module SSLUnpinning ou TrustMeAlready de Xposed Framework
Bonjour
dommage ce pas traduit par la français
Je suis surpris qu'il existe même des applications bancaires dont la sécurité est aussi faible. C'est comme garder de l'argent dans un coffre qui ne ferme pas. Non seulement j'ai un coffre-fort à la maison, mais j'ai aussi un système de sécurité d'ajax, donc pour moi c'est très important, et je ne comprends pas comment les applications bancaires sont si irresponsables à ce sujet.