【问题标题】:Android prevent man-in-the middle attack for SSLAndroid 防止 SSL 的中间人攻击
【发布时间】:2013-03-28 19:25:04
【问题描述】:

我在我的 Android 应用程序中使用 HTTPS 与我自己的 API 进行通信。 当我进行数据包嗅探时,我看不到任何好的信息。 但是,当我使用 Fiddler2 之类的软件在我的 Android 上安装受信任的证书时,我可以清楚地看到我所有的 HTTPS 调用,这很危险。

问题与这个人非常接近,但在 Android 而非 iPhone 中: hiding iOS HTTPS calls from fiddler

我正在使用 loopj 库进行 https 调用:Android 异步 Http 客户端 http://loopj.com/android-async-http/

我该如何处理这样的漏洞? (我知道如何在概念上处理它,但我需要示例代码)

【问题讨论】:

    标签: android ssl https man-in-the-middle


    【解决方案1】:

    当用户选择将 Fiddler2 的证书安装为受信任的根证书时,他就是在选择危及自己的安全性。我不确定您能做些什么,因为您的应用程序的 HTTPS 连接将通过 Android 的证书验证系统,该系统会将连接视为有效,因为证书是受信任的。

    我会采用的解决方案是将您的 SSL 证书嵌入到您的应用程序中,并告诉您的应用程序它是唯一受信任的证书。它是安全且免费的,因为您可以附加您自己创建的自签名证书,因为您可以控制验证机制。代码示例见this blog article

    【讨论】:

    • 谢谢哥们。很抱歉花了太长时间才接受你的答案,我只需要先测试一下。有一件事,博客有密码(myseceret)。他应该加密它,因为 APKtool 会显示字符串
    猜你喜欢
    • 2021-08-09
    • 2021-11-14
    • 1970-01-01
    • 1970-01-01
    • 2012-04-07
    • 2011-03-05
    • 2016-06-08
    • 2014-03-25
    • 2021-07-22
    相关资源
    最近更新 更多