ภายหลัง Android Version 6 ขึ้นไป ผู้ทดสอบจะติดปัญหาไม่สามารถการดักข้อมูล HTTP request และ Response ผ่านโปรแกรม Burp suites วิธีแก้เบื้องต้นคือการ Bypass Certificate Pinning ก็สามารถที่จะดักข้อมูลได้อย่างปกติ
บทความโดย
Nattakit Intarasorn และ บุญเพิ่ม มาร์ค อัครเดช
Cybersecurity Consultant
บทความอื่นที่เกี่ยวกับ Certificate Pining สามารถติดตามเพิ่มเติมได้ดังนี้
- How to bypass certificate pining on Non-root Physical Devices using objection
- How to bypass certificate pining on Non-root Physical Devices manually
- How to bypass certificate pinning using Android-SSL-TrustKiller
- How to bypass certificate pining using SSL Kill switch
สรุปขั้นตอนเตรียมการอุปกรณ์
- ติดตั้ง LSPosed ให้เรียบร้อย สามารถติดตามได้จากบทความ How to install LSPosed Framework – Android (Android 8.1 ~ 12)
- ติดตั้ง Module TrustMeAlready ใน LSPosed
- ปิด SSL verification and pining ผ่าน Module TrustMeAlready
- ทดลอง Intercept โดยใช้โปรแกรม Burp Suite
ตัวอย่างการติดตั้ง
- ติดตั้ง LSPosed ให้เรียบร้อย http://blog.itselectlab.com/?p=13756
- เปิด Web browser จากนั้น Search คำค้น trustmealready เมื่อพบให้หน้า Link ดังกล่าวดังรูป
- เข้ามาที่ Xposed Module Repository
- ดาวโหลดโปรแกรม .apk ดังภาพเข้าเครื่อง Android
- จากนั้นกดปุ่ม Install
- กด Open
- เปิดโปรแกรม LSPosed ขึ้นมา จากนั้นกด Modules
- จะเห็นว่าเป็นอักษรสีเท่าให้เรากดเข้าไป
- จะเห็นได้ว่า Module ยังถูกปิดอยู่
- ให้เลื่อนเพื่อ Enable และให้เลือก App ที่ต้องการ Bypass Pining
- ให้กลับมาที่ LSPosed พบว่า1 Mobile ถูกเปิดแล้ว
- ตั้งค่า Proxy ให้ถูกต้อง
- สามารถดักจับข้อมูลได้เป็นปกติ