Translated ['', 'src/mobile-pentesting/android-app-pentesting/android-an

src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md

@@ -2,7 +2,7 @@
 
 {{#include ../../banners/hacktricks-training.md}}
 
-Ta strona przedstawia praktyczny workflow, aby odzyskać dynamic analysis wobec aplikacji Android, które wykrywają/root‑blokują instrumentation lub wymuszają TLS pinning. Skupia się na szybkim triage, typowych wykryciach oraz copy‑pasteable hooks/tactics do ich obejścia bez repackowania, gdy to możliwe.
+Ta strona przedstawia praktyczny workflow, aby odzyskać dynamic analysis przeciw aplikacjom Android, które wykrywają/blokują instrumentation z powodu roota lub wymuszają TLS pinning. Skupia się na szybkiej triage, typowych detekcjach oraz hookach/taktykach do skopiowania i wklejenia, aby je obejść bez repackowania, gdy to możliwe.
 
 ## Detection Surface (what apps check)
 
@@ -12,36 +12,36 @@ Ta strona przedstawia praktyczny workflow, aby odzyskać dynamic analysis wobec
 - Early init checks: Application.onCreate() or process start hooks that crash if instrumentation is present
 - TLS pinning: custom TrustManager/HostnameVerifier, OkHttp CertificatePinner, Conscrypt pinning, native pins
 
-## Step 1 — Quick win: hide root with Magisk DenyList
+## Krok 1 — szybki sukces: ukryj root za pomocą Magisk DenyList
 
-- Enable Zygisk in Magisk
-- Enable DenyList, add the target package
-- Reboot and retest
+- Włącz Zygisk w Magisk
+- Włącz DenyList, dodaj docelowy pakiet
+- Uruchom ponownie i przetestuj ponownie
 
-Wiele aplikacji szuka tylko oczywistych wskaźników (su/Magisk paths/getprop). DenyList często neutralizuje naiwne checks.
+Wiele aplikacji sprawdza tylko oczywiste wskaźniki (su/ścieżki Magisk/getprop). DenyList często neutralizuje naiwne sprawdzenia.
 
-References:
+Referencje:
 - Magisk (Zygisk & DenyList): https://github.com/topjohnwu/Magisk
 
-## Step 2 — 30‑second Frida Codeshare tests
+## Krok 2 — 30‑sekundowe testy Frida Codeshare
 
-Wypróbuj common drop‑in scripts zanim zaczniesz dokładniejsze analizy:
+Wypróbuj popularne skrypty typu drop‑in zanim zaczniesz głębszą analizę:
 
 - anti-root-bypass.js
 - anti-frida-detection.js
 - hide_frida_gum.js
 
-Example:
+Przykład:
 ```bash
 frida -U -f com.example.app -l anti-frida-detection.js
 ```
-Zazwyczaj stubują Java root/debug checks, process/service scans oraz natywne ptrace(). Przydatne w słabo zabezpieczonych aplikacjach; hardened targets mogą wymagać dostosowanych hooks.
+Zwykle zastępują (stub) Java root/debug checks, skany procesów/usług oraz natywne ptrace(). Przydatne w słabo zabezpieczonych aplikacjach; w przypadku utwardzonych celów mogą być potrzebne dopasowane hooki.
 
 - Codeshare: https://codeshare.frida.re/
 
 ## Automatyzacja z Medusa (Frida framework)
 
-Medusa oferuje 90+ gotowych modułów do SSL unpinning, root/emulator detection bypass, HTTP comms logging, crypto key interception i innych.
+Medusa oferuje ponad 90 gotowych modułów do SSL unpinning, root/emulator detection bypass, HTTP comms logging, crypto key interception i innych.
 ```bash
 git clone https://github.com/Ch0pin/medusa
 cd medusa
@@ -54,40 +54,40 @@ use http_communications/multiple_unpinner
 use root_detection/universal_root_detection_bypass
 run com.target.app
 ```
-Porada: Medusa świetnie nadaje się do szybkich zwycięstw przed napisaniem własnych hooks. Możesz też selektywnie wybierać modules i łączyć je z własnymi scripts.
+Wskazówka: Medusa jest świetna do szybkich zwycięstw przed napisaniem custom hooks. Możesz też cherry-pick modules i połączyć je z własnymi skryptami.
 
-## Krok 3 — Bypass init-time detectors by attaching late
+## Step 3 — Bypass init-time detectors by attaching late
 
-Wiele wykryć działa tylko podczas process spawn/onCreate(). Spawn‑time injection (-f) lub gadgets zostają wykryte; dołączenie po załadowaniu UI może je ominąć.
+Wiele detektorów uruchamia się tylko podczas process spawn/onCreate(). Spawn‑time injection (-f) lub gadgets zostają wykryte; podłączenie się dopiero po załadowaniu UI może to obejść.
 ```bash
 # Launch the app normally (launcher/adb), wait for UI, then attach
 frida -U -n com.example.app
 # Or with Objection to attach to running process
 aobjection --gadget com.example.app explore  # if using gadget
 ```
-Jeśli to zadziała, utrzymaj sesję stabilną i przejdź do mapowania i sprawdzeń stubów.
+Jeśli to zadziała, utrzymaj sesję stabilną i przejdź do mapowania i testów stubów.
 
-## Krok 4 — Zmapuj logikę wykrywania za pomocą Jadx i string hunting
+## Krok 4 — Mapuj logikę wykrywania za pomocą Jadx i przeszukiwania łańcuchów
 
-Static triage keywords in Jadx:
+Statyczne słowa kluczowe do triage w Jadx:
 - "frida", "gum", "root", "magisk", "ptrace", "su", "getprop", "debugger"
 
-Typowe wzorce w Java:
+Typowe wzorce Java:
 ```java
 public boolean isFridaDetected() {
 return getRunningServices().contains("frida");
 }
 ```
-Powszechne API do przeglądu/hook:
+Common APIs to review/hook:
 - android.os.Debug.isDebuggerConnected
 - android.app.ActivityManager.getRunningAppProcesses / getRunningServices
-- java.lang.System.loadLibrary / System.load (native bridge)
-- java.lang.Runtime.exec / ProcessBuilder (probing commands)
-- android.os.SystemProperties.get (root/emulator heuristics)
+- java.lang.System.loadLibrary / System.load (mostek natywny)
+- java.lang.Runtime.exec / ProcessBuilder (komendy sondowania)
+- android.os.SystemProperties.get (heurystyki root/emulator)
 
-## Krok 5 — Runtime stubbing z Frida (Java)
+## Krok 5 — Stubowanie w czasie wykonania z Frida (Java)
 
-Nadpisz niestandardowe zabezpieczenia, aby zwracały bezpieczne wartości bez repackingu:
+Nadpisz niestandardowe mechanizmy ochronne, aby zwracały bezpieczne wartości bez repacking:
 ```js
 Java.perform(() => {
 const Checks = Java.use('com.example.security.Checks');
@@ -102,7 +102,7 @@ const AM = Java.use('android.app.ActivityManager');
 AM.getRunningAppProcesses.implementation = function () { return java.util.Collections.emptyList(); };
 });
 ```
-Triaging wczesnych awarii? Zrzucaj klasy tuż przed zakończeniem działania, żeby wychwycić prawdopodobne przestrzenie nazw odpowiedzialne za wykrywanie:
+Masz do czynienia z wczesnymi awariami? Zrzucaj klasy tuż przed ich wystąpieniem, żeby wykryć prawdopodobne przestrzenie nazw odpowiedzialne za detekcję:
 ```js
 Java.perform(() => {
 Java.enumerateLoadedClasses({
@@ -119,7 +119,7 @@ RootChecker.isDeviceRooted.implementation = function () { return false; };
 } catch (e) {}
 });
 
-Zapisz w logu i zneutralizuj podejrzane metody, aby potwierdzić przebieg wykonania:
+Zaloguj i zneutralizuj podejrzane metody, aby potwierdzić przebieg wykonania:
 ```js
 Java.perform(() => {
 const Det = Java.use('com.example.security.DetectionManager');
@@ -129,11 +129,11 @@ return false;
 };
 });
 ```
-## Bypass emulator/VM detection (Java stubs)
+## Omijanie wykrywania emulatora/VM (Java stubs)
 
-Typowe heurystyki: pola Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE zawierające generic/goldfish/ranchu/sdk; artefakty QEMU, takie jak /dev/qemu_pipe, /dev/socket/qemud; domyślny MAC 02:00:00:00:00:00; NAT 10.0.2.x; brak telephony/sensors.
+Powszechne heurystyki: Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE zawierające generic/goldfish/ranchu/sdk; artefakty QEMU jak /dev/qemu_pipe, /dev/socket/qemud; domyślny MAC 02:00:00:00:00:00; NAT 10.0.2.x; brak telephony/sensors.
 
-Szybkie podszycie się pod pola Build:
+Szybkie spoofowanie pól Build:
 ```js
 Java.perform(function(){
 var Build = Java.use('android.os.Build');
@@ -143,11 +143,11 @@ Build.BRAND.value = 'google';
 Build.FINGERPRINT.value = 'google/panther/panther:14/UP1A.231105.003/1234567:user/release-keys';
 });
 ```
-Uzupełnij o stuby dla sprawdzania istnienia plików oraz identyfikatorów (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList), aby zwracały realistyczne wartości.
+Uzupełnij o stuby do sprawdzania istnienia plików oraz identyfikatorów (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList), aby zwracały realistyczne wartości.
 
 ## SSL pinning bypass quick hook (Java)
 
-Zneutralizuj niestandardowe TrustManagers i wymuś zezwalające SSL contexts:
+Zneutralizuj niestandardowe TrustManagers i wymuś permissive SSL contexts:
 ```js
 Java.perform(function(){
 var X509TrustManager = Java.use('javax.net.ssl.X509TrustManager');
@@ -166,16 +166,16 @@ return SSLContextInit.call(this, km, TrustManagers, sr);
 });
 ```
 Notatki
-- Rozszerz dla OkHttp: hook okhttp3.CertificatePinner i HostnameVerifier w razie potrzeby, lub użyj uniwersalnego skryptu unpinning z CodeShare.
+- Rozszerz dla OkHttp: hook okhttp3.CertificatePinner and HostnameVerifier as needed, or use a universal unpinning script from CodeShare.
 - Przykład uruchomienia: `frida -U -f com.target.app -l ssl-bypass.js --no-pause`
 
-## Krok 6 — Podążaj za śladem JNI/native, gdy Java hooks zawiodą
+## Krok 6 — Śledź ślad JNI/native, gdy Java hooks zawodzą
 
-Śledź punkty wejścia JNI, aby zlokalizować native loaders i inicjalizację detekcji:
+Śledź JNI entry points, aby zlokalizować native loaders i detection init:
 ```bash
 frida-trace -n com.example.app -i "JNI_OnLoad"
 ```
-Szybka natywna wstępna ocena dołączonych plików .so:
+Szybka natywna analiza dołączonych plików .so:
 ```bash
 # List exported symbols & JNI
 nm -D libfoo.so | head
@@ -186,7 +186,7 @@ Interaktywne/native reversing:
 - Ghidra: https://ghidra-sre.org/
 - r2frida: https://github.com/nowsecure/r2frida
 
-Przykład: zneutralizować ptrace, aby obejść prosty anti‑debug w libc:
+Przykład: neuter ptrace to defeat simple anti‑debug in libc:
 ```js
 const ptrace = Module.findExportByName(null, 'ptrace');
 if (ptrace) {
@@ -202,28 +202,28 @@ reversing-native-libraries.md
 
 ## Krok 7 — Objection patching (embed gadget / strip basics)
 
-Jeśli wolisz repacking zamiast runtime hooks, spróbuj:
+Jeżeli wolisz repacking zamiast runtime hooks, wypróbuj:
 ```bash
 objection patchapk --source app.apk
 ```
-Uwagi:
-- Wymaga apktool; upewnij się, że używasz aktualnej wersji według oficjalnego przewodnika, aby uniknąć problemów z budowaniem: https://apktool.org/docs/install
-- Gadget injection umożliwia instrumentation bez root, ale nadal może być wykryte przez silniejsze init‑time checks.
+Notatki:
+- Wymaga apktool; upewnij się, że używasz aktualnej wersji zgodnie z oficjalnym przewodnikiem, aby uniknąć problemów z budowaniem: https://apktool.org/docs/install
+- Gadget injection umożliwia instrumentation bez roota, ale nadal może zostać wykryte przez bardziej rygorystyczne kontrole inicjalizacji.
 
-Opcjonalnie dodaj moduły LSPosed i Shamiko dla silniejszego ukrywania root w środowiskach Zygisk i dopracuj DenyList, aby objąć procesy potomne.
+Opcjonalnie dodaj moduły LSPosed i Shamiko dla silniejszego ukrywania roota w środowiskach Zygisk oraz zarządzaj DenyList, aby objąć procesy potomne.
 
 Referencje:
 - Objection: https://github.com/sensepost/objection
 
-## Krok 8 — Fallback: Patch TLS pinning for network visibility
+## Krok 8 — Plan awaryjny: Patch TLS pinning dla widoczności sieciowej
 
-Jeśli instrumentation jest zablokowane, nadal możesz przejrzeć ruch, usuwając pinning statycznie:
+Jeśli instrumentation jest zablokowane, nadal możesz analizować ruch, usuwając pinning statycznie:
 ```bash
 apk-mitm app.apk
 # Then install the patched APK and proxy via Burp/mitmproxy
 ```
 - Narzędzie: https://github.com/shroudedcode/apk-mitm
-- W sprawie trików związanych z network config CA‑trust (i zaufania użytkownika CA w Android 7+), zobacz:
+- Dla sztuczek związanych z CA‑trust w konfiguracji sieci (i zaufania użytkownika CA w Android 7+), zobacz:
 
 {{#ref}}
 make-apk-accept-ca-certificate.md
@@ -233,7 +233,7 @@ make-apk-accept-ca-certificate.md
 install-burp-certificate.md
 {{#endref}}
 
-## Przydatna ściągawka z poleceniami
+## Przydatna ściągawka poleceń
 ```bash
 # List processes and attach
 frida-ps -Uai
@@ -251,12 +251,30 @@ objection --gadget com.example.app explore
 # Static TLS pinning removal
 apk-mitm app.apk
 ```
-## Wskazówki i uwagi
+## Universal proxy forcing + TLS unpinning (HTTP Toolkit Frida hooks)
 
-- Prefer attaching late zamiast spawning, gdy aplikacje crashują przy uruchomieniu
-- Niektóre detekcje uruchamiają się ponownie w krytycznych przepływach (np. payment, auth) — utrzymuj hooks aktywne podczas nawigacji
-- Łącz analizę statyczną i dynamiczną: wyszukaj stringi w Jadx, aby zawęzić listę klas; następnie hookuj metody, by zweryfikować w runtime
-- Aplikacje hardened mogą używać packers i native TLS pinning — spodziewaj się analizy natywnego kodu
+Nowoczesne aplikacje często ignorują systemowe proxy i wymuszają wielowarstwowe pinowanie (Java + native), co utrudnia przechwytywanie ruchu nawet przy zainstalowanych user/system CAs. Praktycznym podejściem jest połączenie uniwersalnego TLS unpinning z wymuszaniem proxy za pomocą gotowych Frida hooks i skierowanie całego ruchu przez mitmproxy/Burp.
+
+Przebieg
+- Uruchom mitmproxy na swoim hoście (lub Burp). Upewnij się, że urządzenie może połączyć się z IP/portem hosta.
+- Załaduj skonsolidowane Frida hooks z HTTP Toolkit, aby jednocześnie wykonać TLS unpinning i wymusić użycie proxy w popularnych stosach (OkHttp/OkHttp3, HttpsURLConnection, Conscrypt, WebView itp.). To omija sprawdzenia CertificatePinner/TrustManager i nadpisuje selektory proxy, dzięki czemu ruch zawsze jest wysyłany przez twój serwer proxy, nawet jeśli aplikacja jawnie wyłącza proxy.
+- Uruchom docelową aplikację z Frida i hook script, a następnie przechwyć żądania w mitmproxy.
+
+Przykład
+```bash
+# Device connected via ADB or over network (-U)
+# See the repo for the exact script names & options
+frida -U -f com.vendor.app \
+-l ./android-unpinning-with-proxy.js \
+--no-pause
+
+# mitmproxy listening locally
+mitmproxy -p 8080
+```
+Notatki
+- Połącz z systemowym proxy za pomocą `adb shell settings put global http_proxy <host>:<port>` kiedy to możliwe. Frida hooks będą wymuszać użycie proxy nawet gdy aplikacje omijają ustawienia globalne.
+- Ta technika jest idealna, gdy musisz przeprowadzić MITM dla mobile-to-IoT onboarding flows, gdzie pinning/proxy avoidance jest powszechne.
+- Hooks: https://github.com/httptoolkit/frida-interception-and-unpinning
 
 ## References