如何编写Swift代码拦截SSL Pinning的HTTPS请求

阅读量257997

|

发布时间 : 2018-06-11 16:06:48

 

一、前言

如果想检查iOS Apps中的HTTPS请求,最常用的方法就是中间人(MITM)攻击。这种技术需要使用某台主机作为代理服务器,为客户端提供服务。为了保证攻击成功,客户端需要将代理服务器的证书安装到设备的全局信任存储区中。这样处理后,客户端就会将证书添加到白名单中,允许与代理服务器之间的HTTPS通信。

如下图所示,我们可以通过mitmproxy来查看CNN这款iOS应用的流量。在查看流量之前,我已经将代理服务器的证书安装到设备上,大家可以参考mitmproxy官网了解具体操作步骤。

 

二、SSL证书Pinning

如果想保护应用免受MITM攻击影响,一种方法就是使用SSL校验证书绑定(SSL certificate pinning)。此时受信服务器的证书副本会打包到iOS应用中,还有一些附加代码可以确保应用只与使用特定证书的服务器通信。当SSL证书绑定处于激活状态时,应用不会将任何请求发送到不受信任的任何服务器上。因此,MITM代理服务器无法提取这些请求数据,因为此时请求并没有通过足够安全的网络通道来发送。

Twitter iOS应用采用了SSL证书绑定这种安全机制,适用于发往https://api.twitter.com的请求,因此类似mitmproxy以及Charles Proxy之类的MITM工具无法查看与Twitter api有关的任何请求。

有一种方法可以绕过SSL证书绑定,那就是在具体请求通过受保护的HTTPS通道发送之前,尝试拦截这个请求。这种技术需要我们将代码植入到应用中,这样就能直接访问我们要查看的URLRequest对象。因此我们可以先来看一下Apple的URL加载系统。

 

三、URLProtocol

Apple的URL加载系统会定义不同的URLProtocol来处理不同类型的URL。如果要创建我们自定义的URLProtocol子类,可以采用如下步骤:

1、每个URLProtocol子类最基本的框架如下:

class CustomUrlProtocol: URLProtocol {

    open override class func canInit(with request: URLRequest) -> Bool {
        //Logic to determine whether this URLProtocol class knows how to handle the request
        return true
    }

    open override class func canonicalRequest(for request: URLRequest) -> URLRequest {
        return request
    }

    override func startLoading() {
        //Implementation logic to process the request
    }
    override func stopLoading() {}


}

2、使用加载系统注册新的URLProtocol子类。

URLProtocol.registerClass(CustomUrlProtocol.self)

3、在canInit函数中添加自定义的记录函数。

class CustormUrlProtocol: URLProtocol {

    var connection: NSURLConnection?
    var response: URLResponse?
    var data: NSMutableData?


    static var requestCount = 0

    open override class func canInit(with request: URLRequest) -> Bool {

        guard let url = request.url, let scheme = url.scheme else {
            return false
        }
        guard ["http", "https"].contains(scheme) else {
            return false
        }
        if let _ = URLProtocol.property(forKey: "CustormUrlProtocol", in: request) {
            return false
        }

        if NetworkInterceptor.shared.shouldIgnoreLogging(url: url){
            return false
        }

        requestCount = requestCount + 1
        NSLog("Request #(requestCount): CURL => (request.cURL)")
        NetworkInterceptor.shared.logRequest(urlRequest: request)

        return false
    }


}

我们将以cURL命令格式,将URLRequest实例按照字符串表示方式输出到控制台以及Slack通道中(参考第28行代码)。

 

四、技术点汇总

因此,为了查看所有的网络请求,我们需要执行如下步骤:

1、创建一个新的Xcode Dynamic Framework工程,可以参考Github上源码

2、创建自定义的URLProtocol,比如CustormUrlProtocol。添加自定义代码以生成cURL命令字符串。此外我们还可以将cURL字符串打印到设备控制台,或者发送到Slack通道上(参考此处代码)。

3、将新的URLProtocol子类注册到加载系统中,调整方法以确保我们的协议类能先于任何已有的Apple协议类执行(参考此处代码)。

4、在工程中创建一个Slack通道请求记录类(参考此处代码)。

5、编译整个框架。

6、我们可以将该框架拖拽到其他Xcode工程中,开始使用我们新增的功能。记得检查控制台以及slack通道中的cURL命令。

7、对于iOS设备的.ipa文件,我们需要将该框架(匹配iphone架构)注入到ipa文件中。

 

五、代码注入

大家可以参考我前面发表的<a href=”https://medium.com/@kennethpoon/how-to-perform-ios-code-injection-on-ipa-files-1ba91d9438db”>文章了解Dynamic Library框架代码注入技术,好消息是我们不需要越狱就能完成这个任务。

需要注意的是,我们的确无法对AppStore上的iOS应用执行代码注入,因为这些应用受到数字版权管理(DRM)保护。幸运的是,我们可以在这个网站上找到被破解的AppStore应用。然而,由于我们并不知道这些破解应用有没有被篡改过,是否添加了恶意代码,因此需要自己承担风险。

 

六、Tinder API请求

当我将动态框架应用于Tinder iOS应用时,我可以看到一些请求数据,如下图所示:

 

现在比如说我不喜欢某人的Tinder账户,那么也能看到“Pass”掉某人的Api请求。

此外,我们还可以注意到Tinder也会往Facebook Api上发送请求,如下图所示。这是因为Tinder应用中也集成了FacebookSDK,用到了登录之类的功能。

遗憾的是,Tinder应用上并没有启用SSL证书绑定,任何人都可以使用MITM工具来检查所有请求。因此我们来找一下另一款应用。

 

七、Twitter API请求

前文提到过,由于SSL证书绑定机制,因此MITM工具无法查看针对api.twitter.com的任何请求数据。尝试登录Twitter时,应用会抛出认证错误信息,不允许相关请求通过网络发送给服务端。

将我们的框架注入并禁用代理后,我们可以观察到“/auth/1/xauth_password.json ”这个api请求,请求参数中包含我们的ID以及密码值(可以观察Slack通道第二条消息中的最后一行)。

同时还需要注意到,成功登录Twitter后,应用就会崩溃,因为应用检测到我正在使用自己的开发配置信息来签名这个应用,而应用的签名与KeyChain的安全性有冲突。这个问题解决起来并不麻烦,但为了节省文章篇幅,这里我不会去介绍如何具体解决这个特定问题。

 

八、相关演讲

2018年5月30日,我在新加坡举办的iOS Dev Scout Meetup会议上作了一次演讲,会上我演示了即使在SSL pinning处于激活状态,我也能探测Twitter应用的HTTPS请求。

大家可以参考Github上的NetworkInterceptor以及iOSDylibInjectionDemo代码。

 

九、总结

希望本文对大家有所帮助。大家可以尝试相关代码,观察自己最喜欢的iOS应用的请求。如果实验成功或者遇到什么问题,欢迎大家通过de_poon@hotmail.com邮箱联系我。

本文由興趣使然的小胃原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/147090

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
興趣使然的小胃
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66