Abfangen von HTTPS-Verkehr zwischen Android-Gerät & Server
DE
EN PL
Kontakt
image of banner
Zurück

Überwachung des HTTPS-Datenverkehrs zwischen einem Android-Gerät und einem externen Server

Ursprünglich publiziert: July 26, 2015 Aktualisiert: February 15, 2023 Dauer 7 Min.
Manchmal ist es interessant zu sehen, was unterschiedliche Android-Anwendungen über die HTTP- und HTTPS-Protokolle austauschen. Bei der Entwicklung der eigenen Software ist es manchmal praktisch, den gesamten Datenverkehr in Echtzeit beobachten zu können. Zur Lösung dieser Aufgaben sind viele verschiedene und gute Anwendungen entwickelt worden, z.B. Charles oder Fiddler2. Eigentlich gibt es mehr davon, doch nur die beiden Erwähnten decken sowohl HTTP als auch HTTPS ab.

Schwierigkeiten erscheinen bei der Überwachung des Datenverkehrs zwischen einem Android-Gerät und einem externen Server. Mit dem codierten (HTTP-) Verkehr ist alles ziemlich offensichtlich (hier ist eine Anleitung) — externe Links sind mit Fiddler2 erlaubt, in Android ist die Adresse unserer Maschine mit Fiddler2 als Server festgelegt — und voila, alles ist ok und läuft. Aber es hat bei mir etwas länger gedauert, bis die Überwachung des HTTPS-Datenverkehrs eingerichtet war.

Theorie

Also, was ist das Problem? Das Problem ist, dass der Client bei HTTPS standardmäßig überprüft, ob der Server, mit dem die Verbindung hergestellt wird, der richtige ist. Zu diesem Zweck werden Zertifikate verwendet. Also hat der reale Server, natürlich, ein echtes Zertifikat, das der offenen URL entspricht, während unser Proxy keins hat. Um das Problem in Desktop-Betriebssystemen zu umgehen, bietet Fiddler2 die Möglichkeit, ein gefälschtes Zertifikat zu generieren und es bei den vertrauenswürdigen Zertifikaten zu importieren — jetzt wird der Client immer glauben, dass die Verbindung zu Fiddler2 ziemlich sicher ist. Leider kaufen mobile Geräte einem diese Fälschung nicht ab.

In erster Linie ist es unmöglich, Zertifikate bei Android-Betriebssystemen zu importieren, die älter als v.4.0 sind. Es gibt einige zweifelhafte Optionen mit gerouteten Geräten, aber diese passen nicht zu uns. Zweitens ist es sogar unmöglich, ein Fiddler2-Zertifikat bei Android 4.0 zu importieren. Die Sache ist, dass das standardmäßig generierte Zertifikat einige Sicherheitskriterien von Android nicht erfüllt und daher nicht installiert werden kann. Es sollte auf besondere Weise generiert werden. Schließlich können wir es nicht für selbstverständlich halten, dass alle Anwendungen einem gefälschten Zertifikat trauen werden. Da gibt es einige Feinheiten.

Verwendung

  • Nehmen Sie ein Gerät mit Android 4.0 oder einer aktuelleren Version. Nein, ein 2.3-Gerät wird nicht passen. Ja, ein 4.0-Emulator wird passen.
  • Installieren Sie die neueste Version von Fiddler2 auf Ihrem PC.
  • Installieren Sie Spezialbibliotheken, um Android-kompatible Sicherheitszertifikate (hier) zu generieren.
  • Exportieren Sie das Sicherheitszertifikat von Fiddler2 («Tools> Fiddler-Optionen> HTTPS> Root-Zertifikat auf den Desktop exportieren»). Speichern Sie es auf Ihrem Speichermedium im Root-Verzeichnis (oder in Ihrem Emulator, wenn Sie einen verwenden).
  • Fügen Sie das Sicherheitszertifikat zu den vertrauenswürdigen bei Android («Einstellungen> Sicherheit> Installieren von der SD-Karte») hinzu.

    • Überwachung des HTTPS-Datenverkehrs zwischen einem Android-Gerät und einem externen Server - Infopulse - 188422

  • Starten Sie Fiddler2, erlauben Sie Remote-Verbindungen in den Optionen.

    • Überwachung des HTTPS-Datenverkehrs zwischen einem Android-Gerät und einem externen Server - Infopulse - 125890

  • Geben Sie die Adresse des PCs mit Fiddler2 als Proxy in den Netzwerkeinstellungen bei Android ein.

    • Überwachung des HTTPS-Datenverkehrs zwischen einem Android-Gerät und einem externen Server - Infopulse - 195288

  • Öffnen Sie das Browser bei Android, geben Sie google.com ein und beobachten Sie die Anfrage und Antwort im Fiddler2-Fenster.

    • Überwachung des HTTPS-Datenverkehrs zwischen einem Android-Gerät und einem externen Server - Infopulse - 161877

    Also, mit dem Browser hat es geklappt, aber leider sind nicht alle Anwendungen so zutraulich wie der Browser. Meine Software z.B., wo ich den Apache HTTP Client verwendet habe, hat das nicht geschluckt, der Apache-Client könnte sich kaum weniger um die betriebssystemkonforme Zertifikate kümmern. In diesem Fall hatte ich diese Überprüfung manuell wie folgt deaktivieren müssen:

    Protocol.registerProtocol("https", new Protocol("https", new EasySSLProtocolSocketFactory(), 443));

    wo EasySSLProtocolSocketFactory erlaubt, allen Zertifikaten zu vertrauen.

    Nicht sicher! Nur fürs Debuggen!

    Danach wurde der Datenverkehr meiner Anwendung in Fiddler2 erfolgreich sichtbar.

    Weitere Artikel

    Artikel
    API Management Platforms Guide [thumbnail]
    API-Management-Plattform als integraler Bestandteil Ihrer API-Strategie
    August 01, 2023 10 min. read
    Artikel
    Credit Risk Management Software Development [thumbnail]
    Wie geht man bei der Entwicklung einer Software für das Kreditrisikomanagement vor?
    July 12, 2023 8 min. read
    Artikel
    Developing Healthcare Software [thumbnail]
    Was Sie bei der Entwicklung von digitalen Gesundheitslösungen erwarten können
    January 31, 2023 6 min. read
    Artikel
    DevSecOps on Azure vs on AWS [thumbnail]
    Absicherung von CI/CD-Pipelines mit Azure, AWS und DevSecOps vor Ort
    December 02, 2022 8 min. read
    Artikel
    Custom Development vs Staff Augmentation [thumbnail]
    Fünf Gründe für die Wahl kundenspezifischer Entwicklungsdienste und gegen Personalaufstockung
    December 02, 2022 6 min. read
    Artikel
    Low-code for Banking [thumbnail]
    Low-Code-Entwicklung im Bankwesen: Vorteile und Anwendungsfälle (+Video Demos)
    November 25, 2022 8 min. read
    Artikel
    5 Merkmale einer zukunftssicheren OSS-Architektur für Telcos
    June 14, 2021 8 min. read
    Artikel
    Wie wählt man einen optimalen Dienstanbieter im Bereich der Anwendungspaketierung
    May 19, 2020 7 min. read
    Artikel
    Introducing TestOps: a New Approach to Quality Assurance - Thumbnail wide
    Einführung von TestOps: ein neuer Ansatz in der Qualitätssicherung
    April 09, 2020 11 min. read
    Artikel
    Building Infotainment System Powered by Android Automotive OS - Thumbnail
    Aufbau eines Infotainment-Systems auf Basis von Android Automotive OS
    September 23, 2019 9 min. read
    Weiterlesen

    Wir haben eine Lösung für Ihre Anforderungen. Senden Sie uns einfach eine Nachricht, und unsere Experten werden sich so schnell wie möglich mit Ihnen in Verbindung setzen.

    Bitte spezifizieren Sie Ihre Anfrage

    Vielen Dank!

    Wir haben Ihre Anfrage erhalten und werden Sie in Kürze kontaktieren.