私は現在、開発者のグループが銀行アプリケーションをより安全にするのを手伝っているセキュリティ研究者です。私たちは現在、Webプロキシを使用して人々がアプリケーションのトラフィックを分析しようとしないようにするSSL-Pinningメカニズムを実装しようとしています。カスタムSSLピン割り当てを迂回するようにIPAを変更する
通常のライブラリベースのメカニズムは、SSL killswitchまたは同様のユーティリティを使用してシステムライブラリにパッチを適用することでバイパスすることができるため、SSL証明書が自己署名されている場合でもSSL証明書が有効であると考えるようになります。
私は、証明書と公開鍵、署名、有効期間などのハードコードされた値を比較するカスタムSSLピンメカニズムを実装することを提案しました。
今私はそれをバイパスしようとしていますが、私は起動する前に解決しなければならない問題を発見しました。 IPAファイル(本質的に署名付きのzipファイル)を変更して、それをまとめてIOS 8を実行しているjailbrokenデバイス上で実行する方法はありますか?
これはブラックボックスアプローチであることを明確にしたいと思います。つまり、本当の攻撃者がそのリソースを持っていないため、私は開発者に辞めるか、そのメカニズムを避けることができません。
ありがとうございました。アレックス 。
銀行アプリケーションのIPAをクラッキングする際に助けを求めていますか?それは私に似ています。たぶん質問は正当なものかもしれませんが、そうではないかもしれませんが、あなたのプロフィールを見てもわかりません。 – fsb
はい私は、銀行業務用アプリケーションのIPAをクラッキングする際に助けを求めています。それは私の仕事の一部です。私はセキュリティ研究者です。 – Alex