आईओएस ऐप में एसएसएल पिनिंग बाईपास

नमस्ते, मेरा नाम एंड्री बतुटिन है, मैं डेटाआर्ट में वरिष्ठ आईओएस डेवलपर हूं। पिछले लेख में, हमने बात की कि आप HTTPS प्रॉक्सी का उपयोग करके हमारे मोबाइल एप्लिकेशन के ट्रैफ़िक को कैसे सूँघ सकते हैं। इसमें, हम चर्चा करेंगे कि एसएसएल पिनिंग को कैसे बायपास किया जाए। अगर मैं इसे अभी तक नहीं पढ़ पाया हूं, तो बस पहले लेख को पढ़ने की सलाह देता हूं: इसके लिए नीचे दिए गए पाठ को समझने की जरूरत होगी।

दरअसल, व्यवहार में SSL पिनिंग का उपयोग किया जाता है ताकि किसी मोबाइल एप्लिकेशन के ट्रैफ़िक का निरीक्षण करने और उसे संशोधित करने के लिए वर्णित विधि बुरे लोगों या उत्सुक महाराज तक पहुँच योग्य न हो।

SSL पिनिंग क्या है

पिछले लेख में, हमने अपने मोबाइल डिवाइस पर चार्ल्स रूट प्रमाणपत्र स्थापित किया, जिसने हमारे चार्ल्स प्रॉक्सी को प्राप्त करने, डिक्रिप्ट करने, हमें ट्रैफ़िक दिखाने, इसे वापस एन्क्रिप्ट करने और ड्रॉपबॉक्स पर भेजने की अनुमति दी।

यदि मैं मोबाइल एप्लिकेशन के डेवलपर के रूप में, चाहता हूं कि मेरे ट्रैफ़िक का निरीक्षण केवल मेरे सर्वर द्वारा किया जाए और कोई नहीं, भले ही इस दूसरे ने डिवाइस पर अपना एसएसएल प्रमाणपत्र स्थापित किया हो, मैं एसएसएल पिनिंग का उपयोग कर सकता हूं।

इसका सार इस तथ्य से उबलता है कि एसएसएल हैंडशेक के दौरान , क्लाइंट सर्वर से प्राप्त प्रमाण पत्र की जांच करता है।

यह आलेख एप्लिकेशन (श्वेतसूची) में प्रमाणित प्रमाणपत्रों की अधिकृत सूची का उपयोग करके कार्यान्वित करने के लिए सबसे आसान एसएसएल पिनिंग विधि पर चर्चा करता है।

SSL पिनिंग प्रकारों के बारे में अधिक जानकारी यहाँ मिल सकती है ।

FoodSniffer में SSL पिनिंग कार्यान्वयन

पूर्ण परियोजना कोड यहाँ है । सबसे पहले, हमें दो मेजबानों के लिए डीईआर प्रारूप में दो प्रमाण पत्र प्राप्त करने की आवश्यकता है:

• www.dropbox.com ;
• uc9b17f7c7fce374f5e5efd0a422.dl.dropboxusercontent.com।

दूसरा सर्वर हमारी खरीद की सूची के साथ ही JSON को संग्रहीत करता है।

सही प्रारूप में प्रमाण पत्र प्राप्त करने के लिए, मैंने मोज़िला फ़ायरफ़ॉक्स का उपयोग किया।

ब्राउज़र में dropbox.com खोलें।

एड्रेस बार में लॉक सिंबल पर क्लिक करें।





अधिक जानकारी पर क्लिक करें, सुरक्षा चुनें -> प्रमाणपत्र देखें।



फिर विवरण का चयन करें और प्रमाणपत्र पदानुक्रम में अंतिम प्रमाण पत्र ढूंढें।



निर्यात पर क्लिक करें और डीईआर प्रारूप में सहेजें।



Uc9b17f7c7fce374f5e5efd0a422.dl.dropboxusercontent.com के लिए यही प्रक्रिया दोहराएं।

टिप्पणी
ड्रॉपबॉक्स सामग्री सर्वर (* .dl.dropboxusercontent.com) एक वाइल्डकार्ड प्रमाणपत्र का उपयोग करता है। इसका मतलब यह है कि आपके द्वारा uc9b17f7c7f7374f5e5efd0a422 सर्वर के लिए निकाला गया प्रमाणपत्र किसी अन्य ड्रॉपबॉक्स * .dl.dropboxusercontent.com सर्वर के लिए उपयुक्त होगा।

नतीजतन, मुझे प्रमाणपत्रों के साथ दो फाइलें मिलीं:

dropboxcom.crt ,
dldropboxusercontentcom.crt ,

जो मैंने FoodSniffer iOS ऐप प्रोजेक्ट में जोड़ा।



फिर मैंने FoodListAPIConsumer वर्ग के लिए एक्स्टेंशन जोड़ा, जिसमें मैं सर्वर से प्राप्त प्रमाण पत्र की जांच करता हूं। ऐसा करने के लिए, मैं इसे अनुमत प्रमाणपत्रों की सूची में देखता हूं, जो NSURLSessionDelegate प्रोटोकॉल के प्रमाणीकरण चैलेंज प्रतिनिधि को संसाधित करता है:

extension FoodListAPIConsumer { func urlSession(_ session: URLSession, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void) { guard let trust = challenge.protectionSpace.serverTrust else { completionHandler(.cancelAuthenticationChallenge, nil) return } let credential = URLCredential(trust: trust) if (validateTrustCertificateList(trust)) { completionHandler(.useCredential, credential) } else { completionHandler(.cancelAuthenticationChallenge, nil) } } func validateTrustCertificateList(_ trust:SecTrust) -> Bool{ for index in 0..<SecTrustGetCertificateCount(trust) { if let certificate = SecTrustGetCertificateAtIndex(trust, index){ let serverCertificateData = SecCertificateCopyData(certificate) as Data if ( certificates.contains(serverCertificateData) ){ return true } } } return false } } 

प्रमाण पत्र सरणी में, मेरे पास मेरे अनुमत प्रमाणपत्रों का डेटा प्रतिनिधित्व है।

अब, जब चार्ल्स प्रोक्सी चल रहा है, तो इस तथ्य के कारण एप्लिकेशन डिस्कनेक्ट हो जाएगा कि चार्ल्स प्रमाणपत्र अनुमति की सूची में शामिल नहीं है। उपयोगकर्ता को निम्न त्रुटि दिखाई देगी:



हैकर्स की हार!

लेकिन अब एक छोटी समस्या है - मैं, डेवलपर, अपने आवेदन के HTTPS ट्रैफ़िक की निगरानी कैसे कर सकता हूं?

फ्रीडा

एक विकल्प फ्रिडा फ्रेमवर्क के डायनामिक कोड इंजेक्शन फ्रेमवर्क के साथ SSL पिनिंग को अक्षम करना है।

यह विचार यह है कि वैद्युतक्रीड़ाप्रमाण पत्र विधि हमेशा आवेदन के विकास के दौरान सही होती है।

यह, निश्चित रूप से, गतिशील कोड इंजेक्शन के बिना प्राप्त किया जा सकता है, उदाहरण के लिए, सिम्युलेटर पर SSL पिनिंग को अक्षम करने के लिए #if targetEnvironment (सिम्युलेटर) स्थिति का उपयोग करते हुए, लेकिन यह बहुत आसान है।

फ्रिडा का उपयोग करते हुए, हम एक जावास्क्रिप्ट स्क्रिप्ट लिख सकते हैं (चतुराई से, सही?) जिसमें हम एक के साथ validateTrustCertificateList के कार्यान्वयन को प्रतिस्थापित करते हैं जो हमेशा सच होता है।
और इस स्क्रिप्ट को निष्पादन चरण में आवेदन में इंजेक्ट किया जाएगा।

फ्रीडा आईओएस पर कैसे काम करता है, आप यहां पढ़ सकते हैं।

फ्रिडा इंस्टॉलेशन ( यहां से लिया गया )।

sudo pip स्थापित फ्रिडा-टूल्स

फ्रिडा लिपि

मान्य स्क्रिप्ट को बदलने के लिए प्रत्यक्ष स्क्रिप्ट इस प्रकार दिखाई देती है:

 // Are we debugging it? DEBUG = true; function main() { // 1 var ValidateTrustCertificateList_prt = Module.findExportByName(null, "_T016FoodSnifferFrida0A15ListAPIConsumerC024validateTrustCertificateD0SbSo03SecG0CF"); if (ValidateTrustCertificateList_prt == null) { console.log("[!] FoodSniffer!validateTrustCertificateList(...) not found!"); return; } // 2 var ValidateTrustCertificateList = new NativeFunction(ValidateTrustCertificateList_prt, "int", ["pointer"]); // 3 Interceptor.replace(ValidateTrustCertificateList_prt, new NativeCallback(function(trust) { if (DEBUG) console.log("[*] ValidateTrustCertificateList(...) hit!"); return 1; }, "int", ["pointer"])); console.log("[*] ValidateTrustCertificateList(...) hooked. SSL pinnig is disabled."); } // Run the script main(); 

1. हम सूचक को फ़ंक्शन के पूर्ण नाम से एप्लिकेशन बाइनरी में सत्यापन करने के लिए सत्यापित करें ।
2. हम सूचक को एक मूल निवासी आवरण में लपेटते हैं, जो फ़ंक्शन के प्रकार और आउटपुट मान को दर्शाता है।
3. मान्यटे्रस्टट्रैक्शन सर्टिफिकेट फ़ंक्शन के कार्यान्वयन को एक के साथ बदलें जो हमेशा 1 (यानी सही) रिटर्न करता है।

पूरी स्क्रिप्ट {source_root} /fridascrpts/killCertPinnig.js में है ।

समस्याओं में से एक यह है कि फ़ंक्शन का पूरा नाम कैसे है _T016FoodSnifferFrida0A15ListAPIConsumerC024validateTrustCertificateD0SbSo03SecG3CF

इसके लिए, मैंने निम्नलिखित तकनीक का उपयोग किया।

• अनुप्रयोग में एक अतिरिक्त लक्ष्य FoodSnifferFrida बनाया गया।
• मैंने फ्रिडेगैडगेट.डायलिब लाइब्रेरी को इससे जोड़ा, जो मैं यहाँ ले गया। लाइब्रेरी कनेक्शन प्रक्रिया को और अधिक विस्तार से यहाँ वर्णित किया गया है।
• सिम्युलेटर पर FoodSniffer एप्लिकेशन लॉन्च किया।
• पूरी तरह से योग्य फ़ंक्शन नाम को मान्य करने के लिए इस आदेश का उपयोग करें
  फ्रिज-ट्रेस -R -f re.frida.Gadget -i "* validateTrust *"
• इसे इस रूप में प्राप्त करें:
  

और फिर इसे KillCertPinnig.js में इस्तेमाल किया।

ऐसा "अजीब" नाम आखिर में क्यों आया और इन सभी T016 और 0A15 का क्या मतलब है, यहां देखा जा सकता है ।

एसएसएल किलिंग पिनिंग

अब अंत में SSL Pinnig अक्षम के साथ FoodSniffer लॉन्च करें!

चार्ल्स प्रोक्सी लॉन्च।

सिम्युलेटर में Xcode परियोजना में लक्ष्य FoodSnifferFrida चलाएं। हमें बस एक सफेद स्क्रीन देखनी चाहिए। आवेदन इससे जुड़ने के लिए फ्रीडा का इंतजार करता है।


हत्यारे को मारने के लिए फ्राइडा चलाएं ।Pinnig.js स्क्रिप्ट:
frida -R -f re.frida.Gadget -l/fridascrpts/killCertPinnig.js

आइए iOS एप्लिकेशन के कनेक्शन की प्रतीक्षा करें:



% फिर से शुरू कमांड का उपयोग करके एप्लिकेशन जारी रखें:



अब हमें आवेदन में भोजन की सूची देखनी चाहिए:



और चार्ल्स प्रॉक्सी में JSON:



लाभ!

निष्कर्ष

फ्रिडा बायनेरिज़ के लिए विंडशार्क की तरह है। यह iOS, एंड्रॉइड, लिनक्स, विंडोज प्लेटफॉर्म पर काम करता है। यह ढांचा आपको सिस्टम और उपयोगकर्ता दोनों के तरीकों और कार्यों पर कॉल को ट्रैक करने की अनुमति देता है। और मापदंडों, रिटर्न मान और कार्यों के कार्यान्वयन के मूल्यों को भी प्रतिस्थापित करता है।

फ्रिडा का उपयोग कर एक विकास के माहौल में एसएसएल पिनिंग को दरकिनार करना थोड़ा मुश्किल लग सकता है । यह मुझे आकर्षित करता है क्योंकि मुझे डिबगिंग और अनुप्रयोग विकास के लिए आवेदन में विशिष्ट तर्क रखने की आवश्यकता नहीं है। यह तर्क कोड को काटता है और यदि गलत तरीके से लागू किया गया है, तो असेंबली के रिलीज़ संस्करण में लीक हो सकता है (मैक्रोस, हेल्लो टू यू!)।

इसके अलावा, फ्रीडा एंड्रॉइड के लिए लागू है। जो मुझे अपनी पूरी टीम के लिए जीवन को आसान बनाने का अवसर देता है और संपूर्ण उत्पाद लाइन के विकास की एक सुचारू प्रक्रिया सुनिश्चित करता है।
फ्रिडा खुद को एक ब्लैक बॉक्स प्रोसेस कोड इंजेक्शन टूल के रूप में रखता है। इसके साथ, यह संभव है, iOS एप्लिकेशन के प्रत्यक्ष कोड को बदलने के बिना, रनटाइम में लॉगिंग कॉल को जोड़ने के लिए, जो जटिल और दुर्लभ बग को डीबग करते समय अपरिहार्य हो सकता है।