Android 项目经验汇总：Fiddler的坑，证书无效

Posted 2021-12-05 郭梧悠

1、Fiddler的坑，证书无效

Fiddler是用来抓包的强大工具，但是按照流程安装证书等一系列操作之后，会发现要抓包APP的HTTPS链接始终无法访问，提示证书问题。
然后看网上说是需要root手机，然后安装什么Xposed、TrustManager.
然后我就纳闷了，以前手机抓包好好地，怎么现在不可以了呢，于是乎就换了个android 5.1的测试机，结果顺利抓包。压根不用什么劳什子的XPosed之类的折腾。

根本原因是 Android7.0 之后默认不信任用户添加到系统的CA证书：

To provide a more consistent and more secure experience across the Android ecosystem, beginning with Android Nougat, compatible devices trust only the standardized system CAs maintained in AOSP。（百度翻译：为了在整个Android生态系统中提供更一致、更安全的体验，从Android Nougat开始，兼容设备只信任AOSP中维护的标准化系统CA）

也就是说对基于 SDK24 及以上的APP来说，即使你在手机上安装了抓包工具的证书也无法抓取 https 请求

2、对接SDK的坑

我们Android APP最近升级了一个SDK，结果发现我们线上Crash收集系统收集不到错误日志了，然后排查发现第三方SDK默认提供了一个SDKCrashHandler，用以捕获APP崩溃的异常。问题是我们升级SDK的时候，对方升级文档对此只字未提。真是太坑了，而且第三方SDK的CrashHandler默认是开