Mastodawn

Meine Beobachtungen zeigen, dass Certificate-Pinning bei Apps nicht immer als Schutzmechanismus eingesetzt wird, sondern häufig dazu dient, rechtlich fragwürdige Praktiken und (kalkulierte) Datenschutzverstöße zu verschleiern. Auszug aus dem demnächst erscheinenden Artikel »In den Datenstrom eintauchen: Ein Werkzeugkasten für Tester von Android-Apps«.

#android #apps #daten #dsgvo #ttdsg #datenmitschnitt #mitm #mitmproxy #burpsuite #frida #objection

Show thread

Beutlin May 13, 2024

@kuketzblog Nur für Verständnis: Was meinst du mit Certificate Pinning? Bei HTTP(S) ist diese Praxis aus vielerlei Gründen obsolet, hauptsächlich aber weil die Praxis mehr Probleme verursacht als sie löst. Gibt es da bei Apps noch andere Arten des Pinnings oder meinst du hier das gleiche?

Show thread

Kuketz-Blog 🛡May 13, 2024

@meisterdieb https://de.m.wikipedia.org/wiki/HTTP_Public_Key_Pinning

Aber nicht nur. Manchmal stößt man auch auf Apps, die mit Flutter gebaut sind. Flutter verwendet Dart, das nicht den System-CA-Speicher verwendet.

HTTP Public Key Pinning – Wikipedia

Show thread

Beutlin May 13, 2024

@kuketzblog ja genau das ist was ich obsolet genannt habe. Danke dir!

Es ist ein bisschen wild das die nicht die System CA verwenden, weil das ja iirc Google Produkte sind? Freue mich auf deinen Post dazu.

Show thread

Varbin

May 13, 2024

@meisterdieb
"Nur" HPKP ist obsolet. Certificate Pinning gilt für Anwendungen mit gehobenem Sicherheitsniveau immer noch als "State of the Art" (allgemein rät Google trotzdem auf Grund ähnlicher Probleme von ab), gepinnt wird dann in der Netzwerkkonfiguration der App selbst - im Gegensatz zu HPKP wird kann fehlerhafte angepinntes Zertifikat per App-Update gelöst werden. https://developer.android.com/privacy-and-security/security-config#CertificatePinning

Network security configuration | Security | Android Developers

Feature that allows app developers to customize network security settings in a safe configuration file.

Android Developers