如何防止根设备绕过 Android 中的证书固定?
How to prevent root device to bypass certificate pinning in Android?
我正在开发一个项目,该项目需要 Android 应用程序可以防止在进行网络调用时绕过证书 pinning/trust 伪造的证书,即使是在已获得 root 权限的设备中也是如此。
到目前为止,我可以在设备未 root 的情况下进行。我只需要防止一些绕过方法,比如在 Xposed 框架中使用 JustTrustMe。
我在网络通话中使用了retrofit和okHttp。
我试过在okHttp中使用CertPinner,它的版本是3.10.0
并尝试遵循 android 开发人员 https://developer.android.com/training/articles/security-ssl#java
中的代码
这是我尝试并从 google
复制的示例代码
// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
CertificateFactory cf = CertificateFactory.getInstance("X.509");
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
InputStream caInput = new BufferedInputStream(new FileInputStream("load-der.crt"));
Certificate ca;
try {
ca = cf.generateCertificate(caInput);
System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
} finally {
caInput.close();
}
// Create a KeyStore containing our trusted CAs
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
// Create a TrustManager that trusts the CAs in our KeyStore
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
// Create an SSLContext that uses our TrustManager
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, tmf.getTrustManagers(), null);
以及证书固定示例代码
String hostname = "publicobject.com";
CertificatePinner certificatePinner = new CertificatePinner.Builder()
.add(hostname, "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=")
.build();
OkHttpClient client = OkHttpClient.Builder()
.certificatePinner(certificatePinner)
.build();
Request request = new Request.Builder()
.url("https://" + hostname)
.build();
client.newCall(request).execute();
两者都是最简单的代码,但 none 有效
我想让它至少阻止一些绕过方法,比如在 Xposed 中使用 JustTrustMe framework/some 简单的自动绕过方法。
我可以知道是否可以这样做吗,我也尝试过一些像这样的库
https://github.com/moxie0/AndroidPinning
JustTrustMe 建议
经过一些测试后,从 InputStream 加载 CA 不适用于所有启用绕过模块的 root 设备。它仍然适用于普通设备
我能阻止它的唯一方法是同时使用 public key cert pinning 和 proguard,希望这只会帮助一些遇到同样问题的人。
我正在开发一个项目,该项目需要 Android 应用程序可以防止在进行网络调用时绕过证书 pinning/trust 伪造的证书,即使是在已获得 root 权限的设备中也是如此。
到目前为止,我可以在设备未 root 的情况下进行。我只需要防止一些绕过方法,比如在 Xposed 框架中使用 JustTrustMe。
我在网络通话中使用了retrofit和okHttp。
我试过在okHttp中使用CertPinner,它的版本是3.10.0 并尝试遵循 android 开发人员 https://developer.android.com/training/articles/security-ssl#java
中的代码这是我尝试并从 google
复制的示例代码// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
CertificateFactory cf = CertificateFactory.getInstance("X.509");
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
InputStream caInput = new BufferedInputStream(new FileInputStream("load-der.crt"));
Certificate ca;
try {
ca = cf.generateCertificate(caInput);
System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
} finally {
caInput.close();
}
// Create a KeyStore containing our trusted CAs
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
// Create a TrustManager that trusts the CAs in our KeyStore
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
// Create an SSLContext that uses our TrustManager
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, tmf.getTrustManagers(), null);
以及证书固定示例代码
String hostname = "publicobject.com";
CertificatePinner certificatePinner = new CertificatePinner.Builder()
.add(hostname, "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=")
.build();
OkHttpClient client = OkHttpClient.Builder()
.certificatePinner(certificatePinner)
.build();
Request request = new Request.Builder()
.url("https://" + hostname)
.build();
client.newCall(request).execute();
两者都是最简单的代码,但 none 有效
我想让它至少阻止一些绕过方法,比如在 Xposed 中使用 JustTrustMe framework/some 简单的自动绕过方法。
我可以知道是否可以这样做吗,我也尝试过一些像这样的库 https://github.com/moxie0/AndroidPinning
JustTrustMe 建议
经过一些测试后,从 InputStream 加载 CA 不适用于所有启用绕过模块的 root 设备。它仍然适用于普通设备
我能阻止它的唯一方法是同时使用 public key cert pinning 和 proguard,希望这只会帮助一些遇到同样问题的人。