9 mar 2020

Analizando tráfico de apps en Android (Easy Peasy Way)

¡Muy buenas a todos!

En esta entrada venía a mostraros una herramienta que conoce bastante gente, pero no toda la que debería, ya que es bastante útil cuando queremos comprobar rápidamente las conexiones que realiza una aplicación Android. Su nombre es Packet Capture, y podéis encontrarla aquí.

Packet Capture: traffic sniffer app with SSL decryption.

Si bien la herramienta no es la óptima para analizar el tráfico de una aplicación durante una auditoría, es bastante útil si queremos comprobar si la aplicación utiliza SSL Pinning o no, o si simplemente queremos descubrir los endpoints contra los que "choca".

¿Cómo funciona?

Packet Capture se encarga de inspeccionar el tráfico SSL y no SSL del dispositivo mediante el uso de una conexión VPN, habilitando así la posibilidad de usar la herramienta sin necesidad de ser usuario root en el dispositivo. Para realizar la inspección de paquetes SSL hace uso de técnicas man-in-the-middle, pero utilizando un certificado propio que genera la aplicación. Para que pueda realizarse la inspección de tráfico correctamente debemos establecerla como CA de confianza a nivel de usuario. Los pasos de instalación de la aplicación nos guiarán en este paso ;)

Installation steps
Finalmente, una vez hayamos instalado todo, solo tendremos que seleccionar nuestra aplicación a probar y empezar a utilizarla normalmente para poder ver el tráfico que realiza la misma. Para poneros un poco en contexto, he elegido una aplicación al azar de Play Store que realiza peticiones HTTP contra su servidor. Entre las peticiones que realiza, podemos observar que he intentado hacer login en la aplicación y ver exactamente el endpoint al que he realizado la petición POST.

Application flow
De igual forma, en la última captura podéis ver que la misma aplicación nos ofrece distintas formas de guardar un conjunto de peticiones que nos interesen. Ya sea en texto plano o en un bonito pcap :)

Si os ha gustado esta herramienta, o tenéis alguna duda sobre su uso y configuración, no dudéis en preguntarnos :P

2 comentarios:

  1. Que librerias y metodos utiliza para poder manipular desencriptar y realizar todo tipo de trabajos con paquetes de red, porque según tengo entendido jpcap y todas estas librerias requieren de permiso root

    ResponderEliminar