Android 和 iOS 双持，谈谈开放的 Android 不如封闭的 iOS 的一个地方

seers 会员 2022年9月2日 14:40 发表

• 

  XiLingHost 会员

  2022年9月2日 14:40
  可能是因为 Android 的根证书安装起来门槛太低了，不过用户根证书也是可以安装到系统根里的，只要你 root 了就可以 另外是否信任用户根其实是应用的选择，应用甚至可以不信任系统根而是信任内置的公钥
  0 0
  评论

• 

  butanediol2d 会员

  2022年9月2日 15:11
  能不能详细说明一下，root 之后如何添加根证书。Android 直接在设置中添加需要连密钥一同添加，我并不想把密钥也放进去。于是我直接把证书放到系统的证书目录里（目录应该是没错，我看设置中列出的其他预装根证书都在这个目录里）。但这样操作之后，手机安装的软件还是不信任我的 CA ，并且系统也弹出不信任的 CA 的通知。
  0 0
  评论

• 

  churchmice 会员

  2022年9月2日 15:11
  不是直接放就行，名字有讲究，要生成对应的名字才行，具体的生成方法我忘记了。我有自己的 CA,root 之后改对名字放进对应目录一直没问题
  0 0
  评论

• 

  churchmice 会员

  2022年9月2日 15:11
  这个里面有讲如何生成 hash
  0 0
  评论

• 

  Goooler 会员

  2022年9月2日 15:11
  自己放证书的就打扰了，
  0 0
  评论

• 

  NULL2020 会员

  2022年9月2日 15:11
  所以，安卓小白想问问，到底怎么样可以愉快地抓包？
  0 0
  评论

• 

  CEBBCAT 会员

  2022年9月2日 15:41
  http 该怎么抓怎么抓，https 需要安装证书，Android 到一定版本后还需要使用类似 JustTrustMe 之类的插件。再多的细节就记不得了。如果遇到证书绑定的 App ，要更麻烦一些 你 Google 了吗？怎么说？
  0 0
  评论

• 

  butanediol2d 会员

  2022年9月2日 15:41
  感谢，我尝试一下。
  0 0
  评论

• 

  codehz 会员

  2022年9月2日 16:10
  iOS 也不是没有 ssl pinning ，只是好像没安卓那么广
  0 0
  评论

• 

  dingwen07 会员

  2022年9月2日 16:10
  应该 Google 为了防止人们过滤广告
  0 0
  评论

• 

  ByteCat 会员

  2022年9月2日 17:38
  iOS 上遇到过 SSL Pinning 的，那种就很难搞了
  0 0
  评论

• 

  1nKya 会员

  2022年9月2日 21:38
  大概可以考虑 WSA 喵？
  0 0
  评论

• 

  SenLief 会员

  2022年9月2日 23:39
  ssl pinning 咋解决的？
  0 0
  评论

• 

  tbg 会员

  2022年9月3日 03:40
  比喻很形象
  0 0
  评论

• 

  wwbfred 会员

  2022年9月3日 04:39
  Android 我记得用户导入的根证书和系统自动信任的根证书位置是不一样的，某些情况下系统不认，要想达到同等的效果需要 ROOT 。 iOS 信任的根证书也不是无条件的，苹果的一些域名只能用系统证书，无解。SSL Spinning 只能搞自签名应用，要么每年给苹果交钱，要么一周过期一次。过两年侧载法律落地了应该就没有这个问题了。
  0 0
  评论

• 

  albert0yyyy 会员

  2022年9月3日 05:09
  但是只要你有了 root ，也可以为所欲为 /doge
  0 0
  评论

• 

  albert0yyyy 会员

  2022年9月3日 05:09
  Android-SSL-TrustKiller 或者 JustTrustMe 模块或者直接用将用户证书置为根证书，用 Fiddler ，能抓 https 明文
  0 0
  评论

• 

  albert0yyyy 会员

  2022年9月3日 05:09
  而且只是 Android 7 以上不信任用户证书，可以说是 Android 在普通消费者版本逐渐在收紧权限。 退一步说 Android 也还是开发源代码的，可以比喻为 Android 在外眼里逐渐从疯丫头变成乖巧，在家里头身体每个细胞你都能掌控
  0 0
  评论

• 

  albert0yyyy 会员

  2022年9月3日 05:42
  而且对于普通消费来说确实是安全了，确实难抓包了，全是空包。 对于开发者来说，备一台 root 开发机应该是比较好的。
  0 0
  评论

• 

  albert0yyyy 会员

  2022年9月3日 05:42
  或者手机运行 root 虚拟机或者平行空间，虚拟机里安装根证书，手机抓虚拟机的包
  0 0
  评论

• 

  albert0yyyy 会员

  2022年9月3日 06:42
  啊这，你都想抓包了。。。这不就是逆向了，和人家逆着来哪里会愉快。只能多学点技术愉快起来。
  0 0
  评论

• 

  huarong 会员

  2022年9月3日 11:41
  android 信任用户证书的问题，可以用下面这个工具解决，不需要 root 。
  0 0
  评论

• 

  huarong 会员

  2022年9月3日 11:41
  android 信任用户证书的问题，可以用下面这个工具解决，不需要 root： apk-mimt: apk-mitm automates the entire process. All you have to do is give it an APK file and apk-mitm will: 1. decode the APK file using Apktool 2. replace the app's Network Security Configuration to allow user-added certificates 3. modify the source code to disable various certificate pinning implementations 4. encode the patched APK file using Apktool 5. sign the patched APK file using uber-apk-signer
  0 0
  评论