Kuketz-Blog 🛡May 13, 2024

Meine Beobachtungen zeigen, dass Certificate-Pinning bei Apps nicht immer als Schutzmechanismus eingesetzt wird, sondern häufig dazu dient, rechtlich fragwürdige Praktiken und (kalkulierte) Datenschutzverstöße zu verschleiern. Auszug aus dem demnächst erscheinenden Artikel »In den Datenstrom eintauchen: Ein Werkzeugkasten für Tester von Android-Apps«.

#android #apps #daten #dsgvo #ttdsg #datenmitschnitt #mitm #mitmproxy #burpsuite #frida #objection

Show threadBeutlinMay 13, 2024
@kuketzblog Nur für Verständnis: Was meinst du mit Certificate Pinning? Bei HTTP(S) ist diese Praxis aus vielerlei Gründen obsolet, hauptsächlich aber weil die Praxis mehr Probleme verursacht als sie löst. Gibt es da bei Apps noch andere Arten des Pinnings oder meinst du hier das gleiche?
Show threadVarbin  â€‹
@meisterdieb
"Nur" HPKP ist obsolet. Certificate Pinning gilt für Anwendungen mit gehobenem Sicherheitsniveau immer noch als "State of the Art" (allgemein rät Google trotzdem auf Grund ähnlicher Probleme von ab), gepinnt wird dann in der Netzwerkkonfiguration der App selbst - im Gegensatz zu HPKP wird kann fehlerhafte angepinntes Zertifikat per App-Update gelöst werden. https://developer.android.com/privacy-and-security/security-config#CertificatePinning
Network security configuration  |  Security  |  Android Developers

Feature that allows app developers to customize network security settings in a safe configuration file.

Android Developers
May 13, 2024 at 9:21amWeb