今天突然发现 Android7.0 以上的抓第三方的包都有难度了

2019-04-24 13:06:01 +08:00
 HFX3389

似乎是 Google 做的新安全策略

如果想要在 Android7.0 以上抓第三方 APP 的包只能:

  1. 逆向加(改)配置文件

  2. Root 系统将抓包软件的证书加入系统证书或者 Xposed(也是只有 Root 后才能操作)

当然,如果是自己的 APP 那么在测试阶段加一个配置文件信任所有的证书即可

以后 Android7.0 以上的机器会越来越多,以后想抓第三方 APP 包也越来越难!

如果我以后写安卓 APP 的话,我觉得可以:

  1. 只采用微信登录的方式登录(基于实人认证;另外微信对于 Root 和安装 Xposed 似乎有限制,一个不小心会封号)

  2. target 甚至 mini 指向 24 ( mini 或许太严格了点...)

  3. 开启 ssl pinning (保护不受中间人攻击)

  4. 弄个加固(限制普通逆向)

16224 次点击
所在节点    Android
51 条回复
WordTian
2019-04-24 15:17:22 +08:00
我特意买了个二手的安卓机,刷成安卓 6.0,就为了抓包
7.0 以上想抓包太麻烦了,虽然不是完全不能抓
cooljs
2019-04-24 15:20:01 +08:00
@lloovve 代理怎么做的
lloovve
2019-04-24 15:41:50 +08:00
@cooljs 我一般是 win10 开热点,手机链接,然后 开抓包软件
lloovve
2019-04-24 15:42:33 +08:00
Win10 上开抓包软件,当然我抓的是网络数据
qiyuey
2019-04-24 16:19:07 +08:00
@lloovve 你应该抓的是 HTTP 包,抓 HTTPS 必须添加抓包软件的 CA,但是目前 Android 高版本可以选择只信任系统的 CA 就导致了上述问题。
digitO
2019-04-24 16:24:42 +08:00
抓 https 就很麻烦,http 没难度
66beta
2019-04-24 16:27:04 +08:00
大部分厂商都能申请 root 的吧
limingjie138
2019-04-24 16:30:43 +08:00
非移动端开发,我选择电脑 fiddler 抓...iOS 是可以
symeonchen
2019-04-24 16:50:56 +08:00
得益于 Project Treble 计划,厂商适配系统大版本更新的成本大大降低了,所以 mini 24 到来的速度会比前几年的更新换代来得更快。target 完全可以紧跟最新,适配成本不大。
aoling
2019-04-24 17:44:28 +08:00
姿势不对 安卓 9.0 照样抓包 https 不需要 root
Maskeney
2019-04-24 17:50:44 +08:00
16L 正解 要么自己手动挪 要么装 magisk 插件自动挪 当然都需要 root
meisky6666
2019-04-24 17:58:30 +08:00
要抓包的 app 会检测 root ?那为什么 root ?
yingyue
2019-04-24 18:00:17 +08:00
@limingjie138 电脑端抓包,对于 https 安卓会提示,证书错误的。还是要安装信任证书
lk1ngaa7
2019-04-24 18:40:10 +08:00
是的,上周折腾一下午,才发现是系统级别的安全策略
dongyulin353
2019-04-24 18:45:14 +08:00
@aoling #30 有教程吗,同安卓 9.0,不想 root,没找到怎么设置
locoz
2019-04-24 19:02:39 +08:00
@dongyulin353 #35 当你写爬虫抓不到 APP 请求包的时候该怎么办? [中级篇] https://zhuanlan.zhihu.com/p/56397466
locoz
2019-04-24 19:09:29 +08:00
我觉得吧。。一定要抓你 APP 包的人不可能不 ROOT、不装 Xposed 之类的工具的,所以纠结有没有 ROOT 会影响最终结果的想法其实没什么意义。然后以一个做爬虫的角度来看一下你最后的方案:
方案一只能对需要使用大量账户做什么事情的情况有效果,跟抓包没关系如果
方案二、三没卵用
方案四的话普通的壳是秒脱的,高级的、带反调试等功能的壳费用较高
nanaw
2019-04-24 19:14:39 +08:00
你在搞笑吗?还利用起来微信了。只能微信登录那谁会登录。
真要抓你包专门弄个小号就是了。以目前的 Android 不 root 根本不能用,你要反 root 就自己检测。
HFX3389
2019-04-24 19:29:48 +08:00
@nanaw #38 我没在搞笑谢谢,这个帖子的讨论主体是 Android7.0 以上的抓包,我在最后只是阐述我自己的想法,请分清楚讨论主题 :)
lxghost
2019-04-24 19:46:02 +08:00
https://github.com/MegatronKing/HttpCanary/tree/master/zh-CN 参考这篇的第二部分~可以实现非 root 抓包

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/558222

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX