Translated ['', 'src/mobile-pentesting/android-app-pentesting/android-an

2025-10-10 18:36:50 +00:00 · 2025-09-29 12:18:37 +00:00 · 2025-09-29 12:18:37 +00:00 · 9908e8ff53
commit 9908e8ff53
parent 850948d76e
1 changed files with 62 additions and 46 deletions
--- a/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md
+++ b/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md
@ -2,14 +2,14 @@

 {{#include ../../banners/hacktricks-training.md}}

-This page provides a practical workflow to regain dynamic analysis against Android apps that detect/root‑block instrumentation or enforce TLS pinning. It focuses on fast triage, common detections, and copy‑pasteable hooks/tactics to bypass them without repacking when possible.
+Ova stranica pruža praktičan workflow za ponovno uspostavljanje dinamičke analize protiv Android aplikacija koje detektuju/root‑blokiraju instrumentation ili primenjuju TLS pinning. Fokusira se na brzu trijažu, uobičajene detekcije i copy‑pasteable hooks/tactics za zaobilaženje bez repacking kada je moguće.

 ## Detection Surface (what apps check)

- Provere vezane za root: su binary, Magisk paths, getprop values, common root packages
- Frida/debugger provere (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), scanning /proc, classpath, loaded libs
+- Provere root-a: su binary, Magisk paths, getprop values, uobičajeni root packages
+- Frida/debugger checks (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), scanning /proc, classpath, loaded libs
 - Native anti‑debug: ptrace(), syscalls, anti‑attach, breakpoints, inline hooks
- Rane init provere: Application.onCreate() ili process start hookovi koji crash-uju ako je instrumentacija prisutna
+- Early init checks: Application.onCreate() or process start hooks that crash if instrumentation is present
 - TLS pinning: custom TrustManager/HostnameVerifier, OkHttp CertificatePinner, Conscrypt pinning, native pins

 ## Step 1 — Quick win: hide root with Magisk DenyList
@ -25,7 +25,7 @@ References:

 ## Step 2 — 30‑second Frida Codeshare tests

-Try common drop‑in scripts before deep diving:
+Isprobaj uobičajene drop‑in skripte pre dubljeg uranjanja:

 - anti-root-bypass.js
 - anti-frida-detection.js
@ -35,11 +35,11 @@ Example:
 ```bash
 frida -U -f com.example.app -l anti-frida-detection.js
 ```
-Ove obično stub-uju Java root/debug checks, process/service scans i native ptrace(). Korisno za aplikacije sa slabijom zaštitom; za hardenovane ciljeve možda su potrebni prilagođeni hooks.
+Ovo obično stub-uje Java root/debug provere, skeniranja procesa/servisa i native ptrace(). Korisno za aplikacije sa slabijom zaštitom; ojačani ciljevi mogu zahtevati prilagođene hooks.

 - Codeshare: https://codeshare.frida.re/

-## Automatizujte sa Medusa (Frida framework)
+## Automatizuj pomoću Medusa (Frida framework)

 Medusa pruža 90+ gotovih modula za SSL unpinning, root/emulator detection bypass, HTTP comms logging, crypto key interception i još mnogo toga.
 ```bash
@ -54,22 +54,22 @@ use http_communications/multiple_unpinner
 use root_detection/universal_root_detection_bypass
 run com.target.app
 ```
-Tip: Medusa je odlična za brze pobede pre nego što napišete custom hooks. Takođe možete cherry-pick modules i kombinovati ih sa svojim scripts.
+Savet: Medusa je odlična za brze pobede pre nego što napišete custom hooks. Možete takođe cherry-pick modules i kombinovati ih sa sopstvenim scripts.

-## Korak 3 — Zaobiđite detektore koji rade pri inicijalizaciji tako što ćete se priključiti kasnije
+## Korak 3 — Zaobiđite init-time detektore tako što ćete se attach-ovati kasnije

-Mnoge detekcije se pokreću samo tokom process spawn/onCreate(). Spawn‑time injection (-f) ili gadgets bivaju otkriveni; priključenje nakon što se UI učita može proći neopaženo.
+Mnoge detekcije se izvršavaju samo tokom process spawn/onCreate(). Spawn‑time injection (-f) ili gadgets bivaju otkriveni; attaching nakon što se UI učita može proći.
 ```bash
 # Launch the app normally (launcher/adb), wait for UI, then attach
 frida -U -n com.example.app
 # Or with Objection to attach to running process
 aobjection --gadget com.example.app explore  # if using gadget
 ```
-Ako ovo radi, zadrži sesiju stabilnom i nastavi sa mapiranjem i proverama stub-ova.
+Ako ovo radi, održi sesiju stabilnom i nastavi sa mapiranjem i proverama stub-ova.

-## Korak 4 — Mapiranje logike detekcije putem Jadx i string hunting
+## Korak 4 — Mapiranje logike detekcije putem Jadx i pretrage stringova

-Statičke ključne reči za trijažu u Jadx:
+Statička trijaža — ključne reči u Jadx-u:
 - "frida", "gum", "root", "magisk", "ptrace", "su", "getprop", "debugger"

 Tipični Java obrasci:
@ -85,9 +85,9 @@ Uobičajeni API-ji za pregled/hook:
 - java.lang.Runtime.exec / ProcessBuilder (probing commands)
 - android.os.SystemProperties.get (root/emulator heuristics)

-## Korak 5 — Runtime stubbing sa Frida (Java)
+## Korak 5 — Stubovanje u runtime-u sa Frida (Java)

-Override custom guards da vraćaju safe values bez repacking:
+Prepišite custom guards da vraćaju sigurne vrednosti bez ponovnog pakovanja:
 ```js
 Java.perform(() => {
 const Checks = Java.use('com.example.security.Checks');
@ -102,7 +102,7 @@ const AM = Java.use('android.app.ActivityManager');
 AM.getRunningAppProcesses.implementation = function () { return java.util.Collections.emptyList(); };
 });
 ```
-Trijaža ranih crash-eva? Dump-ujte klase neposredno pre nego što aplikacija padne da biste uočili verovatne detection namespaces:
+Analiza ranih padova? Dump classes neposredno pre nego što se ugasi da bi uočio verovatne detection namespaces:
 ```js
 Java.perform(() => {
 Java.enumerateLoadedClasses({
@ -111,7 +111,6 @@ onComplete: () => console.log('Done')
 });
 });
 ```
-```
 // Quick root detection stub example (adapt to target package/class names)
 Java.perform(() => {
 try {
@ -119,9 +118,8 @@ const RootChecker = Java.use('com.target.security.RootCheck');
 RootChecker.isDeviceRooted.implementation = function () { return false; };
 } catch (e) {}
 });
-```

-Zabeležite i neutralizujte sumnjive metode da potvrdite tok izvršavanja:
+Zabeležite i onesposobite sumnjive metode da potvrdite tok izvršavanja:
 ```js
 Java.perform(() => {
 const Det = Java.use('com.example.security.DetectionManager');
@ -131,11 +129,11 @@ return false;
 };
 });
 ```
-## Zaobilaženje detekcije emulatora/VM (Java stubs)
+## Bypass emulator/VM detection (Java stubs)

-Uobičajene heuristike: Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE sadrže generic/goldfish/ranchu/sdk; QEMU artefakti kao što su /dev/qemu_pipe, /dev/socket/qemud; podrazumevani MAC 02:00:00:00:00:00; 10.0.2.x NAT; nedostatak telephony/sensors.
+Uobičajene heuristike: Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE koji sadrže generic/goldfish/ranchu/sdk; QEMU artefakti poput /dev/qemu_pipe, /dev/socket/qemud; podrazumevani MAC 02:00:00:00:00:00; 10.0.2.x NAT; izostanak telefonskih funkcionalnosti/senzora.

-Brzo spoofovanje Build polja:
+Brzo lažiranje Build polja:
 ```js
 Java.perform(function(){
 var Build = Java.use('android.os.Build');
@ -145,11 +143,11 @@ Build.BRAND.value = 'google';
 Build.FINGERPRINT.value = 'google/panther/panther:14/UP1A.231105.003/1234567:user/release-keys';
 });
 ```
-Dopunite stubovima za provere postojanja fajlova i identifikatore (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList) da vraćaju realistične vrednosti.
+Dopuniti stubovima za provere postojanja fajlova i identifikatora (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList) kako bi vraćali realistične vrednosti.

 ## SSL pinning bypass quick hook (Java)

-Neutralizujte prilagođene TrustManagers i primorajte permisivne SSL contexts:
+Neutralizujte custom TrustManagers i prisilite permissive SSL contexts:
 ```js
 Java.perform(function(){
 var X509TrustManager = Java.use('javax.net.ssl.X509TrustManager');
@ -167,28 +165,28 @@ return SSLContextInit.call(this, km, TrustManagers, sr);
 };
 });
 ```
-Napomene
- Proširite za OkHttp: hook okhttp3.CertificatePinner i HostnameVerifier po potrebi, ili koristite univerzalni unpinning script sa CodeShare.
+Beleške
+- Proširi za OkHttp: hook okhttp3.CertificatePinner i HostnameVerifier po potrebi, ili koristi univerzalni unpinning skript sa CodeShare.
 - Primer pokretanja: `frida -U -f com.target.app -l ssl-bypass.js --no-pause`

-## Korak 6 — Pratite JNI/native trag kada Java hooks zakažu
+## Korak 6 — Prati JNI/native trag kada Java hooks ne uspeju

-Pratite JNI ulazne tačke da biste pronašli native loadere i inicijalizaciju detekcije:
+Prati JNI ulazne tačke kako bi locirao native loadere i inicijalizaciju detekcije:
 ```bash
 frida-trace -n com.example.app -i "JNI_OnLoad"
 ```
-Brza nativna trijaža uključenih .so files:
+Brza nativna trijaža pakovanih .so fajlova:
 ```bash
 # List exported symbols & JNI
 nm -D libfoo.so | head
 objdump -T libfoo.so | grep Java_
 strings -n 6 libfoo.so | egrep -i 'frida|ptrace|gum|magisk|su|root'
 ```
-Interaktivno/native reversing:
+Interaktivno/nativno reverzovanje:
 - Ghidra: https://ghidra-sre.org/
 - r2frida: https://github.com/nowsecure/r2frida

-Primer: neutralizovati ptrace da bi se zaobišao jednostavan anti‑debug u libc:
+Primer: neutralisati ptrace da zaobiđe jednostavan anti‑debug u libc:
 ```js
 const ptrace = Module.findExportByName(null, 'ptrace');
 if (ptrace) {
@ -204,28 +202,28 @@ reversing-native-libraries.md

 ## Korak 7 — Objection patching (embed gadget / strip basics)

-Ako više volite repacking umesto runtime hooks, pokušajte:
+Ako više volite repacking umesto runtime hooks, probajte:
 ```bash
 objection patchapk --source app.apk
 ```
 Napomene:
- Zahteva apktool; obezbedite ažuriranu verziju iz zvaničnog vodiča kako biste izbegli probleme pri izgradnji: https://apktool.org/docs/install
- Gadget injection omogućava instrumentation bez root, ali ga i dalje mogu otkriti strože provere pri inicijalizaciji.
+- Zahteva apktool; osigurajte aktuelnu verziju iz zvaničnog vodiča da biste izbegli probleme pri buildovanju: https://apktool.org/docs/install
+- Gadget injection omogućava instrumentation bez root-a, ali i dalje može biti otkrivena jačim init‑time checks.

-Opcionalno, dodajte LSPosed modules i Shamiko za jače skrivanje root-a u Zygisk okruženjima, i prilagodite DenyList tako da obuhvati podprocese.
+Opcionalno, dodajte LSPosed modules i Shamiko za jače skrivanje root-a u Zygisk okruženjima, i prilagodite DenyList da obuhvati child processes.

-Referencije:
+References:
 - Objection: https://github.com/sensepost/objection

-## Korak 8 — Fallback: Patch TLS pinning radi vidljivosti mreže
+## Korak 8 — Fallback: Patch TLS pinning for network visibility

-Ako je instrumentation blokiran, i dalje možete pregledati saobraćaj tako što ćete statički ukloniti pinning:
+Ako je instrumentation blokirana, i dalje možete pregledati saobraćaj statičkim uklanjanjem pinning-a:
 ```bash
 apk-mitm app.apk
 # Then install the patched APK and proxy via Burp/mitmproxy
 ```
 - Alat: https://github.com/shroudedcode/apk-mitm
- Za trikove vezane za konfiguraciju mreže i CA‑trust (i Android 7+ user CA trust), vidi:
+- Za trikove vezane za network config CA‑trust (i Android 7+ user CA trust), vidi:

 {{#ref}}
 make-apk-accept-ca-certificate.md
@ -235,7 +233,7 @@ make-apk-accept-ca-certificate.md
 install-burp-certificate.md
 {{#endref}}

-## Korisna lista komandi
+## Koristan pregled komandi
 ```bash
 # List processes and attach
 frida-ps -Uai
@ -253,14 +251,32 @@ objection --gadget com.example.app explore
 # Static TLS pinning removal
 apk-mitm app.apk
 ```
-## Saveti i napomene
+## Univerzalno forsiranje proxy-ja + TLS unpinning (HTTP Toolkit Frida hooks)

- Radije attach-ujte kasnije nego spawn-ujte kada se aplikacije sruše pri pokretanju
- Neki detektori se ponovo pokreću u kritičnim tokovima (npr. payment, auth) — držite hooks aktivnim tokom navigacije
- Kombinujte statičku i dinamičku analizu: string hunt u Jadx za suženje liste klasa; zatim hook-ujte metode da verifikujete u runtime-u
- Ojačane aplikacije mogu koristiti packers i native TLS pinning — očekujte da ćete reversovati native code
+Moderne aplikacije često ignorišu sistemske proxy-je i primenjuju više slojeva pinovanja (Java + native), što otežava presretanje saobraćaja čak i kada su user/system CAs instalirane. Praktičan pristup je kombinovanje univerzalnog TLS unpinning-a sa forsiranjem proxy-ja preko gotovih Frida hook-ova iz HTTP Toolkit-a, i usmeravanje svega kroz mitmproxy/Burp.

-## References
+Workflow
+- Pokrenite mitmproxy na vašem hostu (ili Burp). Proverite da li uređaj može da dosegne host IP/port.
+- Učitajte konsolidovane Frida hook-ove iz HTTP Toolkit-a da biste i unpinovali TLS i forsirali upotrebu proxy-ja preko uobičajenih stack-ova (OkHttp/OkHttp3, HttpsURLConnection, Conscrypt, WebView, itd.). Ovo zaobilazi CertificatePinner/TrustManager provere i prepisuje proxy selectors, tako da se saobraćaj uvek šalje preko vašeg proxy-ja čak i ako aplikacija eksplicitno onemogućava proxy-je.
+- Pokrenite ciljnu aplikaciju sa Frida i skriptom hook-a, i presretnite zahteve u mitmproxy.
+
+Example
+```bash
+# Device connected via ADB or over network (-U)
+# See the repo for the exact script names & options
+frida -U -f com.vendor.app \
+-l ./android-unpinning-with-proxy.js \
+--no-pause
+
+# mitmproxy listening locally
+mitmproxy -p 8080
+```
+Beleške
+- Kombinujte sa sistemskim proxy-jem pomoću `adb shell settings put global http_proxy <host>:<port>` kad god je moguće. Frida hooks će prisiliti korišćenje proxy-ja čak i kada aplikacije zaobilaze globalna podešavanja.
+- Ova tehnika je idealna kada treba da izvršite MITM na mobile-to-IoT onboarding tokove gde su pinning i izbegavanje proxy-ja uobičajeni.
+- Hooks: https://github.com/httptoolkit/frida-interception-and-unpinning
+
+## Reference

 - [Reversing Android Apps: Bypassing Detection Like a Pro](https://www.kayssel.com/newsletter/issue-12/)
 - [Frida Codeshare](https://codeshare.frida.re/)