Я занимаюсь разработкой проекта, в котором требуется приложение Android, которое может предотвратить обход закрепления сертификата / доверие к поддельному сертификату при выполнении сетевых вызовов даже на рутованных устройствах.
Пока что могу это сделать, когда устройство не рутировано. Мне просто нужно предотвратить обходной метод, такой как использование JustTrustMe в платформе Xposed.
Я использую модификацию и okHttp во время сетевых вызовов.
Я пробовал использовать CertPinner в okHttp, и его версия 3.10.0, а также пытался следовать коду в Android Developer https://developer.android.com/training/articles/security-ssl#java
вот пример кода, который я попробовал и скопировал из Google
// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
CertificateFactory cf = CertificateFactory.getInstance("X.509");
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
InputStream caInput = new BufferedInputStream(new FileInputStream("load-der.crt"));
Certificate ca;
try {
ca = cf.generateCertificate(caInput);
System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
} finally {
caInput.close();
}
// Create a KeyStore containing our trusted CAs
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
// Create a TrustManager that trusts the CAs in our KeyStore
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
// Create an SSLContext that uses our TrustManager
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, tmf.getTrustManagers(), null);
И пример закрепления сертификата
String hostname = "publicobject.com";
CertificatePinner certificatePinner = new CertificatePinner.Builder()
.add(hostname, "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=")
.build();
OkHttpClient client = OkHttpClient.Builder()
.certificatePinner(certificatePinner)
.build();
Request request = new Request.Builder()
.url("https://" + hostname)
.build();
client.newCall(request).execute();
Оба являются простейшим кодом, но ни один из них не работает
Я хотел бы сделать так, чтобы он по крайней мере предотвращал какой-то обходной метод, такой как использование JustTrustMe в среде Xposed / некоторый простой способ автоматического обхода.
Могу ли я узнать, возможно ли это сделать или нет, я также попробовал некоторые библиотеки, такие как https://github.com/moxie0/AndroidPinning
, предложенные JustTrustMe
https://github.com/Fuzion24/JustTrustMe