java - Android 中如何防止 root 设备绕过证书固定？-6ren

java - Android 中如何防止 root 设备绕过证书固定？

转载作者：行者123 更新时间：2023-12-01 22:57:31

25

4

我正在开发一个项目，要求 Android 应用程序即使在 root 设备中进行网络调用时也可以防止绕过证书固定/信任假证书。

到目前为止，我可以在设备未 root 的情况下完成此操作。我只需要阻止一些绕过方法，例如在Xposed框架中使用JustTrustMe。

我在网络调用期间使用了retrofit和okHttp。

我尝试过在okHttp中使用CertPinner，它的版本是3.10.0并尝试遵循 android 开发人员 https://developer.android.com/training/articles/security-ssl#java 中的代码

这是我尝试过并从谷歌复制的示例代码

// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
CertificateFactory cf = CertificateFactory.getInstance("X.509");
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
InputStream caInput = new BufferedInputStream(new FileInputStream("load-der.crt"));
Certificate ca;
try {
    ca = cf.generateCertificate(caInput);
    System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
} finally {
    caInput.close();
}

// Create a KeyStore containing our trusted CAs
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);

// Create a TrustManager that trusts the CAs in our KeyStore
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);

// Create an SSLContext that uses our TrustManager
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, tmf.getTrustManagers(), null);

以及证书固定示例代码

String hostname = "publicobject.com";
CertificatePinner certificatePinner = new CertificatePinner.Builder()
    .add(hostname, "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=")
    .build();
OkHttpClient client = OkHttpClient.Builder()
    .certificatePinner(certificatePinner)
    .build();

Request request = new Request.Builder()
    .url("https://" + hostname)
    .build();
client.newCall(request).execute();

两者都是最简单的代码，但都不起作用

我想让它至少阻止一些绕过方法，比如在 Xposed 框架中使用 JustTrustMe/一些简单的自动绕过方法。

我可以知道是否可以这样做，我也尝试过一些库，例如 https://github.com/moxie0/AndroidPinning

由 JustTrustMe 建议

https://github.com/Fuzion24/JustTrustMe

最佳答案

经过一些测试，从输入流加载 CA 不适用于所有启用了绕过模块的 root 设备。它仍然适用于普通设备

我可以防止它的唯一方法是同时使用公钥证书固定和混淆器，希望这只能帮助一些遇到同样问题的人。

关于java - Android 中如何防止 root 设备绕过证书固定？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/58433276/

25

4

0

文章推荐： Groovy:构造函数问题

文章推荐： arrays - Fortran 90 数据语句不覆盖数据

文章推荐： mobile - 如何查找或搜索 FM 广播流媒体网址？

iphone - iphone 设备 UDID 、 iphone 设备 ID 和 iphone 设备 token 之间有什么区别？
iphone设备UDID、iphone设备ID和iphone设备Token之间有什么区别？通常，当我们使用苹果推送通知服务时，会使用 iPhone 设备 token 。但我的目标只是识别唯一的 i
android - 发送数据到 Android 设备 Notification to IOS 设备
我们使用 firebase 从服务器向 Android 和 IOS 设备发送通知，并且我们使用旧版 FCM 发送通知。但是当我们的应用程序在后台时，通知由系统本身处理，因此我们无法通过应用程序处理它。
iphone - 如何通过蓝牙将 iOS 设备连接到非 iOS 设备(Arduino 设备)？
在 Google 上搜索后，我发现人们说只能通过“MFi 程序”将 iOS 设备与非 iOS 设备连接起来。这是真的吗？我的项目主要集中于直接通过蓝牙与Arduino设备发送和接收信息。 iOS和非
objective-c - 如果(设备 == iPad)，如果(设备 == iPhone)
所以我有一个通用应用程序，我正在设置 UIScrollView 的内容大小。显然，iPhone 和 iPad 上的内容大小会有所不同。如何为 iPad 设置某种尺寸，为 iPhone 和 iPod t
kubernetes - 如何使用连接到主机的 block 设备，作为 pod 中的 block 设备
问题:如何在 pod 中使用连接到主机的原始设备作为 block 设备。我尝试使用类型为“BlockDevice”的“hostPath” volumes: - my-data: hostPath
ios - Google Cast 设备 DidComeOnline(设备 : GCKDevice!)从未被调用 #GoogleCastSDK
Implemented GCKDeviceScannerListener Singleton Class on ViewController, however its delegate methods
iOS APNS 设备 ID 与 Passbook 设备 ID 不匹配
我有一个 (PhoneGap) 应用程序，它将成功获得 Passbook 通行证，并且还将成功接收与 Passbook 分开的推送通知(当伪造设备 ID 时)。我遇到的问题是发送给注册设备的设备 I
ios - 访问电池供电的 iBeacon 设备(主要是 kontakt io 设备)的电池电量？
我正在尝试找到一种方法，通过我目前正在使用的 iOS 应用程序访问我的信标的电池电量。我正在使用 Kontakt 的 iBeacon 设备。我浏览了 Estimote iOS SDK，他们提供了一种实
c - NVAPI 设备 ID 与 CUDA 设备 ID 有何关系？
我正在努力让 CUDA 应用程序也能监控 GPU 的核心温度。可通过 NVAPI 访问该信息。问题是我想确保在运行代码时监控的是同一个 GPU。但是，似乎有信息表明我从 NvAPI_EnumPhy
沙盒中的 iPhone APNS 设备 token 与生产环境中的 iPhone APNS 设备 token
从沙箱模式到生产模式，设备 token 有何不同？我认为我已将一些设备 token 锁定为生产模式，并且无法将它们从开发中插入。关于如何检查有什么想法吗？最佳答案当您使用开发证书构建应用程序时
android - 文件管理器检测到 Android 设备，但 gvfs 文件夹为空。如何从终端访问 MTP 设备？
目录 /run/user/1000/gvfs 和 ~/.gvfs 分别是空的和不存在的。我的图形文件管理器 (Thunar) 能够检测和访问设备的内部和外部存储器。命令 gvfs-mount -l
Android 平板电脑无法通过 USB 端口找到 USB 设备，但可以通过 OTG 线找到 USB 设备
我有一个 Android 平板电脑，它有一个迷你 USB 端口和一个 USB 端口，我想编写一个与 USB key 通信的应用程序。我写了一个demo来找出U盘，但是没有任何反应。令我不安的是，如果
php - SOAP 网络服务不仅仅适用于 IOS 设备，它适用于 soap ui 和 Android 设备
我们将 PHP 版本从 5.4.25 更改为 5.4.45，并在服务器上安装了 MS SQL 驱动程序。在更改服务器之前，一切正常，但在更改服务器之后，我遇到了 Web 服务问题。我们的身份验证 So
支持从两个后置摄像头同时捕获的 Android 设备
我想知道是否有人使用此 API 在 Android 设备上同时从 2 个后置摄像头捕获图像或视频:https://source.android.com/docs/core/camera/concurr
可以接受强制门户上的条款的嵌入式 WiFi 设备？
我正在为客户构建一个物联网解决方案，网络管理员坚持要求设备仅通过访客网络进行连接，该网络有一个强制门户，其中的服务条款必须通过按下 UI 按钮来接受，然后才能获得外部互联网访问。到目前为止，我见过的大
delphi - 使用delphi检测USB驱动器/设备
我无法弄清楚这里的格式规则..在我的示例中，代码行太多，无法为每行添加 4 个空格，因此这里是我需要帮助的代码的链接 http://nitemsg.blogspot.com/2011/01/heres
iOS 设备 token
如果我在我的设备上接受推送通知，并且不保存设备 token ，那么我如何在自定义 View 中查看设备 token 或恢复警报 View ？我删除了应用程序并重新安装，但看不到设备 token 警报
多线程复制 block 设备
我试图找出在尝试并行比较和复制设备 block 与 pthreads 时我做错了什么。看起来我正在脱离同步并且比较阶段无法正常工作。任何帮助将不胜感激 #ifndef __dbg_h__ #defin
Android 相对布局和不同的屏幕尺寸/设备
我刚刚写完所有这些内容，但这个红色的小栏告诉我我不能发布图片或两个以上的链接。因此，如果您可以引用 this Imgur album ，那简直太好了。谢谢。我在这里相对较新，甚至对 android
MySQL --> 启用常规日志并将其移动到另一个驱动器/设备
我需要启用 mysql 常规日志并将其通过 nsf 移动到我系统中的另一个驱动器/设备! 所以，我在 my.cnf 中启用了它: general_log = 1 general_log_fi

首页

博学

6Ren·AI

商城

java - Android 中如何防止 root 设备绕过证书固定？