如何防止根设备绕过 Android 中的证书固定?

Posted

技术标签:

【中文标题】如何防止根设备绕过 Android 中的证书固定?【英文标题】:How to prevent root device to bypass certificate pinning in Android? 【发布时间】:2019-10-17 12:59:52 【问题描述】:

我正在开发一个项目,该项目需要 android 应用程序可以防止绕过证书固定/即使在有根设备中进行网络调用时也可以信任假证书。

到目前为止,当设备未植根时,我可以做到。我只需要防止一些绕过方法,比如在 Xposed 框架中使用 JustTrustMe。

我在网络调用过程中使用retrofit和okHttp。

我已经尝试在 okHttp 中使用 CertPinner,它的版本是 3.10.0 并尝试关注android开发者https://developer.android.com/training/articles/security-ssl#java中的代码

这是我尝试并从谷歌复制的示例代码

// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
CertificateFactory cf = CertificateFactory.getInstance("X.509");
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
InputStream caInput = new BufferedInputStream(new FileInputStream("load-der.crt"));
Certificate ca;
try 
    ca = cf.generateCertificate(caInput);
    System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
 finally 
    caInput.close();


// Create a KeyStore containing our trusted CAs
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);

// Create a TrustManager that trusts the CAs in our KeyStore
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);

// Create an SSLContext that uses our TrustManager
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, tmf.getTrustManagers(), null);

以及证书固定示例代码

String hostname = "publicobject.com";
CertificatePinner certificatePinner = new CertificatePinner.Builder()
    .add(hostname, "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=")
    .build();
OkHttpClient client = OkHttpClient.Builder()
    .certificatePinner(certificatePinner)
    .build();

Request request = new Request.Builder()
    .url("https://" + hostname)
    .build();
client.newCall(request).execute();

两者都是最简单的代码,但都不起作用

我想让它至少防止一些绕过方法,比如在 Xposed 框架中使用 JustTrustMe/一些简单的自动绕过方法。

请问我是否可以这样做,我也尝试了一些库,例如 https://github.com/moxie0/AndroidPinning

由 JustTrustMe 推荐

https://github.com/Fuzion24/JustTrustMe

【问题讨论】:

您必须假设信任执行环境,并且在根设备上信任消失了。您试图通过 cert pinning 防范的威胁是什么? 我正在努力防止中间人攻击 如果成功的 MITM 还需要破坏运行代码的设备,那么您已经可以缓解 MITM 威胁。 【参考方案1】:

经过一些测试,从 InputStream 加载 CA 不适用于所有启用了绕过模块的根设备。它仍然适用于普通设备

我可以防止它的唯一方法是同时使用公钥证书固定和proguard,希望这只会帮助一些人遇到同样的问题。

【讨论】:

你能解释一下你是怎么做到的吗?现在还可以吗?

以上是关于如何防止根设备绕过 Android 中的证书固定?的主要内容,如果未能解决你的问题,请参考以下文章

在 IBM MobileFirst Platform Android 中绕过自签名证书

android中无法绕过的根检测方法

使用地图、播放服务、分析等的 Android 应用程序中的 SSL 证书固定

HTTPS 抓包原理以及 Android 端如何防止抓包

Android / iOS 应用内浏览器上的证书固定

是不是很好/建议绕过ssl证书从Android app.if证书每年更改生产