[Android] SSL Pinning 우회

개요

기본적으로 SSL(Secure Socket Layer)이란 악의적인 사용자의 MITM(Man in the Middle) 공격을 예방하기 위해 사용되는 클라이언트 기법입니다. 간단히 말해 클라이언트 애플리케이션과 서버 인증서와 유효성 검사를 또는 비교를 하여 인증서가 일치하지 않으면 에러를 발생하거나 더 이상 통신이 되지 않도록 합니다.

 

SSL Pinning이란 클라이언트 측에서 SSL HandShake 이후에도 서버측 증명서를 재검증 하기 때문에 MITM 공격을 막을수 있지만 만약 자신의 인증서가 정상적인 인증서인 것처럼 중간에 앱 내부로 삽입하여 속이게 된다면 우회가 가능해집니다. 

 

기존에 자신의 디바이스(Nox)에 인증서가 있어야 되기 때문에 없으신분들 하단의 포스팅을 참고하여 인증서 설치(Android 5)

guleum-zone.tistory.com/153

 

자신의 Nox와 로컬PC에 있는 Burp Suite가 성공적으로 통신이 된다면 대상 앱(트위터)을 통해 SSL Pinning이 적용되어 있는지 확인해주시면 됩니다.(계정 만들기)

 

기본 경로에 존재하는 "다운로드" 폴더의 경로는 /storage/emulated/legacy/Download 에 존재합니다. frida 스크립트를 통해 우회할 것이기에 인증서를 /data/local/tmp/ 경로에 이름을 변경하여 이동시키겠습니다.

 

frida 스크립트에는 인증서 이름이 cert-der.crt 이름으로 /data/local/tmp경로에 이동되어 있으며 이것을 통해 우리의 인증서가 정상적인 것으로 판단하도록 할 수 있게 됩니다.

 

프리다 스크립트 내부에 지정된 경로와 인증서 파일명이 보입니다. 굳이 "다운로드"에 있는 인증서를 옮기지 않고 스크립트 코드를 조금 수정해서 사용하셔도 됩니다.

 

참고로 SSL Pinning 스크립트를 사용하려면 구버전의 frida를 사용해 주셔야 에러 없이 작동이 가능합니다. 저는 아나콘다에 python=3.7 버전의 새로운 영역을 추가하고 여기에 구버전 frida를 설치했습니다.

 

frida 버전을 맞추기 위해 adb 쉘로 이동하여 기존에 존재했던 최신 버전의 frida-server는 제거하고 구버전 frida-server로 동일하게 설치했습니다.

 

cd /data/local/tmp
ls -al (frida-server 확인)
chmod 777 <프리다 서버 파일>
./<프리다 서버 파일> &    -> 백그라운드 실행

권한은 777로 수정후 백그라운드 형태로 실행되도록 해주시면 됩니다.

 

구버전 프리다가 통신하는지 확인해주시고 트위터 앱의 패키지 명을 복사해두도록 하겠습니다. 만약 에러가 발생될 경우 Nox 에뮬을 껐다가 다시 진행해 주세요

 

frida -Uf <패키지명> -l <스크립트 파일명> --no-pause

이제 프리다 스크립트를 로드하여 트위터 앱에 attach 되도록 하겠습니다. 스크립트 코드는 하단의 링크를 참고

codeshare.frida.re/@pcipolloni/universal-android-ssl-pinning-bypass-with-frida/

Frida CodeShare

 

잠시 기다려주시면 여러 개의 콘솔 로그가 찍혀서 나오게 됩니다. 성공적으로 로드가 되었다면 TrustManager 문구가 나타날 것입니다.

 

앱이 자동으로 다시 로드가 되는데 이때 SSL Pinning이 걸린 계정 만들기를 다시 클릭해 보시면 에러 메시지가 나타나지 않고 저희 들의 Burp Suite 인증서가 정상적인 것으로 판단하고 페이지 호출을 하게 됩니다.