From da305c79ca484448733d1823b519e63e9733af63 Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 29 Sep 2025 12:18:09 +0000 Subject: [PATCH] Translated ['', 'src/mobile-pentesting/android-app-pentesting/android-an --- ...-instrumentation-and-ssl-pinning-bypass.md | 112 ++++++++++-------- 1 file changed, 64 insertions(+), 48 deletions(-) diff --git a/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md b/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md index 3d1fcdbce..21ebbc173 100644 --- a/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md +++ b/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md @@ -2,21 +2,21 @@ {{#include ../../banners/hacktricks-training.md}} -Questa pagina fornisce un workflow pratico per riottenere l'analisi dinamica contro app Android che rilevano o bloccano l'instrumentation a causa del root o applicano TLS pinning. Si concentra su triage veloce, rilevamenti comuni e hook/tattiche copiabili/incollabili per aggirarli senza repack quando possibile. +Questa pagina fornisce un workflow pratico per recuperare l'analisi dinamica contro app Android che rilevano/bloccano instrumentation o impongono TLS pinning. Si concentra su triage rapido, rilevamenti comuni e hook/tattiche copiabili per bypassarli senza repacking quando possibile. ## Detection Surface (what apps check) -- Controlli root: su binary, Magisk paths, getprop values, pacchetti root comuni -- Controlli Frida/debugger (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), scansione di /proc, classpath, librerie caricate -- Anti-debug nativo: ptrace(), syscalls, anti‑attach, breakpoint, inline hooks -- Controlli di init precoce: Application.onCreate() o hook all'avvio del processo che crashano se è presente instrumentation -- TLS pinning: custom TrustManager/HostnameVerifier, OkHttp CertificatePinner, Conscrypt pinning, pin native +- Controlli root: su binary, Magisk paths, getprop values, common root packages +- Controlli Frida/debugger (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), scanning /proc, classpath, loaded libs +- Anti‑debug nativo: ptrace(), syscalls, anti‑attach, breakpoints, inline hooks +- Controlli di init precoce: Application.onCreate() o hook di avvio del processo che fanno crash se è presente instrumentation +- TLS pinning: custom TrustManager/HostnameVerifier, OkHttp CertificatePinner, Conscrypt pinning, native pins ## Step 1 — Quick win: hide root with Magisk DenyList -- Abilita Zygisk in Magisk -- Abilita DenyList, aggiungi il package target -- Riavvia e ritesta +- Enable Zygisk in Magisk +- Enable DenyList, add the target package +- Reboot and retest Molte app cercano solo indicatori ovvi (su/Magisk paths/getprop). DenyList spesso neutralizza controlli ingenui. @@ -25,7 +25,7 @@ References: ## Step 2 — 30‑second Frida Codeshare tests -Prova script drop‑in comuni prima di approfondire: +Try common drop‑in scripts before deep diving: - anti-root-bypass.js - anti-frida-detection.js @@ -35,13 +35,13 @@ Example: ```bash frida -U -f com.example.app -l anti-frida-detection.js ``` -Questi tipicamente forniscono stub per Java root/debug checks, process/service scans e native ptrace(). Utili su app poco protette; i hardened targets potrebbero richiedere tailored hooks. +Questi solitamente sostituiscono con stub i Java root/debug checks, le scansioni process/service e il ptrace() nativo. Utili su app poco protette; i target hardened potrebbero richiedere hooks su misura. - Codeshare: https://codeshare.frida.re/ ## Automatizza con Medusa (Frida framework) -Medusa fornisce oltre 90 moduli pronti all'uso per SSL unpinning, root/emulator detection bypass, HTTP comms logging, crypto key interception e altro. +Medusa offre oltre 90 moduli pronti all'uso per SSL unpinning, root/emulator detection bypass, HTTP comms logging, crypto key interception e altro ancora. ```bash git clone https://github.com/Ch0pin/medusa cd medusa @@ -54,40 +54,40 @@ use http_communications/multiple_unpinner use root_detection/universal_root_detection_bypass run com.target.app ``` -Suggerimento: Medusa è ottimo per ottenere risultati rapidi prima di scrivere custom hooks. Puoi anche cherry-pick modules e combinarli con i tuoi scripts. +Tip: Medusa è ottimo per ottenere risultati rapidi prima di scrivere custom hooks. Puoi anche cherry-pick moduli e combinarli con i tuoi script. -## Passo 3 — Bypass init-time detectors agganciandosi più tardi +## Step 3 — Bypass dei rilevatori init-time attaccando più tardi -Molte rilevazioni vengono eseguite solo durante il process spawn/onCreate(). Le iniezioni a spawn‑time (-f) o i gadgets vengono intercettati; agganciarsi dopo il caricamento della UI può farle passare inosservate. +Molte rilevazioni vengono eseguite solo durante il process spawn/onCreate(). Le spawn‑time injection (-f) o i gadgets vengono intercettati; attaching dopo il caricamento della UI può invece passarle inosservato. ```bash # Launch the app normally (launcher/adb), wait for UI, then attach frida -U -n com.example.app # Or with Objection to attach to running process aobjection --gadget com.example.app explore # if using gadget ``` -Se questo funziona, mantieni la sessione stabile e procedi con la mappatura e i controlli degli stub. +Se funziona, mantieni la sessione stabile e procedi a mappare e controllare gli stub. -## Step 4 — Mappa la logica di rilevamento tramite Jadx e string hunting +## Fase 4 — Mappa la logica di rilevamento tramite Jadx e ricerca di stringhe -Static triage keywords in Jadx: +Parole chiave per il triage statico in Jadx: - "frida", "gum", "root", "magisk", "ptrace", "su", "getprop", "debugger" -Typical Java patterns: +Pattern Java tipici: ```java public boolean isFridaDetected() { return getRunningServices().contains("frida"); } ``` -API comuni da review/hook: +API comuni da rivedere/hook: - android.os.Debug.isDebuggerConnected - android.app.ActivityManager.getRunningAppProcesses / getRunningServices - java.lang.System.loadLibrary / System.load (bridge nativo) - java.lang.Runtime.exec / ProcessBuilder (comandi di probing) -- android.os.SystemProperties.get (heuristiche root/emulator) +- android.os.SystemProperties.get (euristiche per root/emulatore) -## Passo 5 — Runtime stubbing con Frida (Java) +## Passo 5 — Sostituzione a runtime con Frida (Java) -Sovrascrivi i custom guard per restituire valori sicuri senza repacking: +Sovrascrivi guardie personalizzate per restituire valori sicuri senza ripacchettare: ```js Java.perform(() => { const Checks = Java.use('com.example.security.Checks'); @@ -102,7 +102,7 @@ const AM = Java.use('android.app.ActivityManager'); AM.getRunningAppProcesses.implementation = function () { return java.util.Collections.emptyList(); }; }); ``` -Triaging early crashes? Dump classes poco prima che si arresti per individuare i probabili detection namespaces: +Triage dei crash iniziali? Dump classes appena prima che si arresti per individuare i probabili detection namespaces: ```js Java.perform(() => { Java.enumerateLoadedClasses({ @@ -111,7 +111,6 @@ onComplete: () => console.log('Done') }); }); ``` -```javascript // Quick root detection stub example (adapt to target package/class names) Java.perform(() => { try { @@ -119,7 +118,6 @@ const RootChecker = Java.use('com.target.security.RootCheck'); RootChecker.isDeviceRooted.implementation = function () { return false; }; } catch (e) {} }); -``` Registra e neutralizza i metodi sospetti per confermare il flusso di esecuzione: ```js @@ -133,7 +131,7 @@ return false; ``` ## Bypass emulator/VM detection (Java stubs) -Euristiche comuni: Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE contenenti generic/goldfish/ranchu/sdk; artefatti QEMU come /dev/qemu_pipe, /dev/socket/qemud; MAC predefinito 02:00:00:00:00:00; NAT 10.0.2.x; mancanza di telephony/sensors. +Euristiche comuni: Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE che contengono generic/goldfish/ranchu/sdk; artefatti QEMU come /dev/qemu_pipe, /dev/socket/qemud; MAC predefinito 02:00:00:00:00:00; NAT 10.0.2.x; assenza di telephony/sensors. Spoof rapido dei campi Build: ```js @@ -145,11 +143,11 @@ Build.BRAND.value = 'google'; Build.FINGERPRINT.value = 'google/panther/panther:14/UP1A.231105.003/1234567:user/release-keys'; }); ``` -Aggiungi stub per i controlli di esistenza dei file e per gli identificatori (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList) in modo da restituire valori realistici. +Completa con stub per i controlli di esistenza dei file e per gli identificatori (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList) per restituire valori realistici. -## SSL pinning bypass quick hook (Java) +## Hook rapido per SSL pinning bypass (Java) -Neutralizza i TrustManagers personalizzati e forza SSL contexts permissivi: +Neutralizzare i custom TrustManagers e forzare contesti SSL permissivi: ```js Java.perform(function(){ var X509TrustManager = Java.use('javax.net.ssl.X509TrustManager'); @@ -168,12 +166,12 @@ return SSLContextInit.call(this, km, TrustManagers, sr); }); ``` Note -- Estendi per OkHttp: hook okhttp3.CertificatePinner e HostnameVerifier secondo necessità, oppure usa uno script di unpinning universale da CodeShare. +- Estendi per OkHttp: hook okhttp3.CertificatePinner e HostnameVerifier secondo necessità, oppure usa uno universal unpinning script da CodeShare. - Esempio di esecuzione: `frida -U -f com.target.app -l ssl-bypass.js --no-pause` -## Passaggio 6 — Segui la traccia JNI/native quando i Java hooks falliscono +## Fase 6 — Segui la traccia JNI/native quando i Java hooks falliscono -Traccia i punti di ingresso JNI per individuare i loader nativi e l'inizializzazione del rilevamento: +Traccia i punti di ingresso JNI per individuare native loaders e detection init: ```bash frida-trace -n com.example.app -i "JNI_OnLoad" ``` @@ -184,11 +182,11 @@ nm -D libfoo.so | head objdump -T libfoo.so | grep Java_ strings -n 6 libfoo.so | egrep -i 'frida|ptrace|gum|magisk|su|root' ``` -Interattivo/nativo reversing: +Reversing interattivo/nativo: - Ghidra: https://ghidra-sre.org/ - r2frida: https://github.com/nowsecure/r2frida -Esempio: neutralizzare ptrace per aggirare un semplice anti‑debug in libc: +Esempio: neutralizzare ptrace per bypassare un semplice anti‑debug in libc: ```js const ptrace = Module.findExportByName(null, 'ptrace'); if (ptrace) { @@ -204,28 +202,28 @@ reversing-native-libraries.md ## Passo 7 — Objection patching (embed gadget / strip basics) -Quando preferisci repacking a runtime hooks, prova: +Quando preferisci il repacking ai runtime hooks, prova: ```bash objection patchapk --source app.apk ``` Note: -- Richiede apktool; assicurati di una versione aggiornata seguendo la guida ufficiale per evitare problemi di build: https://apktool.org/docs/install -- Gadget injection abilita l'instrumentation senza root ma può comunque essere rilevata da init‑time checks più stringenti. +- Richiede apktool; assicurati di avere una versione aggiornata dalla guida ufficiale per evitare problemi di build: https://apktool.org/docs/install +- Gadget injection consente instrumentation senza root ma può comunque essere rilevato da init‑time checks più severi. -Opzionalmente, aggiungi moduli LSPosed e Shamiko per un nascondimento del root più robusto in ambienti Zygisk, e cura DenyList per coprire i processi figli. +Facoltativamente, aggiungi moduli LSPosed e Shamiko per un root hiding più efficace negli ambienti Zygisk, e cura DenyList per coprire i processi figli. Riferimenti: - Objection: https://github.com/sensepost/objection -## Passo 8 — Ripiego: Patch TLS pinning per la visibilità della rete +## Step 8 — Fallback: Patch TLS pinning for network visibility -Se l'instrumentation è bloccata, puoi comunque ispezionare il traffico rimuovendo il pinning staticamente: +Se instrumentation è bloccata, puoi comunque ispezionare il traffico rimuovendo il pinning staticamente: ```bash apk-mitm app.apk # Then install the patched APK and proxy via Burp/mitmproxy ``` - Strumento: https://github.com/shroudedcode/apk-mitm -- Per le tecniche di CA‑trust nella configurazione di rete (e per la trust delle CA utente in Android 7+), vedi: +- Per i trucchi di network config CA‑trust (e la trust delle CA utente su Android 7+), vedi: {{#ref}} make-apk-accept-ca-certificate.md @@ -235,7 +233,7 @@ make-apk-accept-ca-certificate.md install-burp-certificate.md {{#endref}} -## Elenco rapido dei comandi utili +## Utile cheat‑sheet dei comandi ```bash # List processes and attach frida-ps -Uai @@ -253,12 +251,30 @@ objection --gadget com.example.app explore # Static TLS pinning removal apk-mitm app.apk ``` -## Suggerimenti e avvertenze +## Forzatura universale del proxy + TLS unpinning (HTTP Toolkit Frida hooks) -- Preferire attaching late anziché spawning quando le app crashano all'avvio -- Alcune rilevazioni vengono rieseguite nei flussi critici (es. payment, auth) — mantenere i hooks attivi durante la navigazione -- Combina analisi statica e dinamica: cerca stringhe in Jadx per restringere la lista delle classi; poi hooka i metodi per verificarli a runtime -- Le app hardened possono usare packers e native TLS pinning — aspettati di dover reverse il codice nativo +Le app moderne spesso ignorano i proxy di sistema e applicano più livelli di pinning (Java + native), rendendo la cattura del traffico difficile anche con le CAs utente/di sistema installate. Un approccio pratico è combinare TLS unpinning universale con la forzatura del proxy tramite Frida hooks già pronti, e instradare tutto tramite mitmproxy/Burp. + +Workflow +- Esegui mitmproxy sul tuo host (o Burp). Assicurati che il dispositivo possa raggiungere l'IP/porta dell'host. +- Carica i Frida hooks consolidati di HTTP Toolkit per eseguire sia il TLS unpinning sia la forzatura dell'uso del proxy attraverso gli stack comuni (OkHttp/OkHttp3, HttpsURLConnection, Conscrypt, WebView, etc.). Questo bypassa i controlli CertificatePinner/TrustManager e sovrascrive i proxy selectors, quindi il traffico viene sempre inviato tramite il tuo proxy anche se l'app disabilita esplicitamente i proxy. +- Avvia l'app target con Frida e lo script hook, e cattura le richieste in mitmproxy. + +Example +```bash +# Device connected via ADB or over network (-U) +# See the repo for the exact script names & options +frida -U -f com.vendor.app \ +-l ./android-unpinning-with-proxy.js \ +--no-pause + +# mitmproxy listening locally +mitmproxy -p 8080 +``` +Note +- Combina con un proxy di sistema tramite `adb shell settings put global http_proxy :` quando possibile. I Frida hooks faranno rispettare l'uso del proxy anche quando le app ignorano le impostazioni globali. +- Questa tecnica è ideale quando è necessario effettuare MITM nei flussi di onboarding mobile-to-IoT dove è comune il pinning/proxy avoidance. +- Hooks: https://github.com/httptoolkit/frida-interception-and-unpinning ## References