Malw.link Wiki

Тема

PCAPdroid

PCAPdroid — приложение для мониторинга сетевого трафика на Android. Позволяет отслеживать DNS-запросы, IP-адреса, к которым обращаются приложения. С root-правами доступна расшифровка содержимого зашифрованного трафика (HTTPS).

Установка

https://f-droid.org/repo/com.emanuelef.remote_capture_89.apk

PCAPdroid mitm

По умолчанию, весь трафик HTTPS всегда зашифрован. Никто, кроме устройства-отправителя и конечного сервера, не сможет его прочитать. При HTTPS-соединении сервер отправляет сертификат, подписанный центром сертификации. Android проверяет, хранится ли в системе сертификат этого центра сертификации. Если да — он точно достоверный и соединение пройдет успешно. Если нет — соединение не пройдет.

PCAPdroid mitm всегда возвращает свой сертификат для всех соединений с целью последующей их расшифровки. Он не хранится в системе по умолчанию, его нужно установить вручную.

Android позволяет установить дополнительные сертификаты без root. Но приложения по умолчанию доверяют только системным сертификатам, соединения проходить не будут. Поэтому есть Magisk модуль Cert Fixer, который копирует пользовательские сертификаты в системное хранилище. Тогда все приложения будут доверять сертификату PCAPdroid, соединения будут успешны, PCAPdroid mitm сможет их расшифровать.

  1. Перейдите в настройки PCAPdroid. Включите "Дешифрование TLS".
  2. Следуйте инструкциям на экране для установки PCAPdroid mitm.
  3. После установки вернитесь в PCAPdroid. Он попросит установить сертификат. Нажмите "Экспорт", сохраните его в любую папку.
  4. Перейдите в настройки Android. Нужно найти раздел "Шифрование и учетные данные". В разных прошивках раздел может находиться в разных местах, поэтому воспользуйтесь поиском в настройках.
  5. В разделе "Шифрование и учетные данные" будет кнопка "Установка сертификатов".
  6. "Сертификат центра сертификации". Выберите сохранённый ранее файл.
  7. Установите Magisk-модуль Cert Fixer.
  8. Перезагрузите устройство.
  9. Запустите PCAPdroid. В левом меню выберите "Правила дешифрования". Нажмите кнопку + сверху экрана -> Приложение -> выберите нужное приложение.
  10. Нажмите "Готов" для запуска захвата.
  11. Запустите нужное приложение. В PCAPdroid на вкладке "Соединения" вы увидите список всех запросов. Нажмите на запрос и перейдите на вкладку HTTP для просмотра его содержимого.