Android 7.0 https 抓包实现

8,468

说到抓包,这就是涉及到调试和安全问题,对于 Android 7.0 (API 24 )以下,你可以直接使用 Charles 安装相关证书配置好代理后直接实现。但是在 Android 7.0 之后,Google 推出更加严格的安全机制。

image.png

<?xml version="1.0" encoding="utf-8"?>
<manifest ... >
    <application android:networkSecurityConfig="@xml/network_security_config"
                    ... >
        ...
    </application>
</manifest>

至于具体怎么配置,Google 官方给出超级全面解释,官方连接

简单分析下,为什么在 7.0 之后,在手机内直接安装证书没效果呢?这是 6.0 默认配置:

<base-config cleartextTrafficPermitted="true">
    <trust-anchors>
        <certificates src="system" />
        <certificates src="user" />
    </trust-anchors>
</base-config>

然后这是 7.0 默认配置:

<base-config cleartextTrafficPermitted="true">
    <trust-anchors>
        <certificates src="system" />
    </trust-anchors>
</base-config>

区别显而易见,我们在手机里自己安装证书,就是对应在 user 域,对于 7.0 来说,默认是直接不信任。所以,你装代理证书失去意义。

那要解决 7.0 不能抓包调试这个问题,你可以直接配置出这文件,选择上面 6.0 默认配置方式,信任来自 user 域证书。这样,你就又可以抓包调试。

上面方式最为简单,但是也有一些安全问题。比如说,你这么一配置,其实相当于否定 Google 为 7.0 https 增强的安全策略。而且这么一来,你的 https 请求任何人都可以抓包,这有什么意义呢?

接着介绍 Google 针对这一问题,给出建议:

<debug-overrides>
    <trust-anchors>
        <certificates src="@raw/user"/>
    </trust-anchors>
</debug-overrides>

这个就是我们在调试时可以信任的证书。

您可以通过使用 debug-overrides 指定仅在 android:debuggable 为 true 时才可信的仅调试 CA。通常,IDE 和构建工具会自动为非发布版本设置此标记。

另外像 禁止明文通信固定证书 等高级设置,你也可以在官方文档中看到明确示例,这里就不再展开。

说完调试需求,接着谈谈安全问题。https 抓包,对于自家开发人员来说,这个是开发调试,但是,对于其他人来说,这个就存在重要数据泄漏等安全问题,这就是典型的中间人劫持。所以我觉得 Android 7.0 对于证书信任这一块的细化,的确可以提升应用安全性。我们开发者也不能图一时方便,留下安全隐患。

回到具体场景,如果应用上线后,出现一些问题,你怀疑是正式环境数据有问题,这时候就想抓包看下,那么应该怎么处理呢?

如果,你现在是使用 Okhttp ,我们可以把我们的证书都放到 APP 内部,包括代理证书。然后给 APP 设置一个后门,那就是你可以控制代理证书有效性。这样你就可以在关键时刻通过抓包来查看相关数据。配置也超级简单,大概就这样:

  //代理CA
  val openRawResource =
                if (isDebug) {
                    App.mApp?.resources?.openRawResource(R.raw.charles)
                } else {
                    null
                }

 OkHttpClient.Builder()
...
.sslSocketFactory(SSLUtil.getSSLSocketFactory(openRawResource1, openRawResource), SSLUtil.getTrustManager())
.build()

这里需要注意,使用 .sslSocketFactory() 配置相关证书优先级最高

除此之外如果你觉得安装证书,手动设置代理还是麻烦来,有没有什么更加简单的调试方式,咳咳,还真有哟,stetho ,可以直接使用浏览器来调试网络请求,如果你调试过 WebView ,那就是一样的套路。GitHub 上面有详细的初始化步骤。 第一步在 Application 里初始化一下:

   Stetho.initializeWithDefaults(this);

第二步在 OkHttp 创建时,添加一个 addNetworkInterceptor ,请注意,这里是 addNetworkInterceptor()。之后你就可以在浏览器里去看看数据情况啦。

到这里,简单总结下:

  • Android 7.0 之后,默认不再信任用户自己安装的证书,但是引入配置文件可配置相关策略。

  • App 数据安全问题应该引起重视,不能以需要调试为由,泄漏出敏感数据源。为了防止别人抓包,我们应该选择只信任对应证书,有必要可留下后门,方便自己调试。

随便推广下,Readhub APP 配置了对应相关方式。每天三分钟,轻松了解实时科技新闻,远离各种算法推送。欢迎到 小米市场 或者 Google Play 下载。