为什么我只能用ZAP查看一些iOS应用程序的HTTPS流量？

Question

我注意到了一个奇怪的怪事，我的应用程序在我的iPhone上嗅到了一些流量。我已经在设备上安装了ZAP代理CA证书，但我注意到我可以嗅探到一些应用程序的流量，而另一些则不能。这在六个月前就很明显了，但现在我观察到更多的套件无法通过代理连接，所以我的假设是一个可信的证书不再受信任。

我知道iOS存在一个问题，库允许使用不受信任的证书，但是如果我安装了根CA，显式地告诉设备它是可信的，那么我应该能够从设备查看所有HTTPS通信量了吗？

如果做不到这一点，是否仍有可能通过代理从设备中嗅探HTTPS？

Answer 1

是的，这仍然是可能的，但像证书钉扎等技术使得越来越难以进行中间人攻击。

我还观察到了很多应用程序(尽管在Android上)，并发现特别是消息和通信应用程序(Facebook，Snapchat，.)尽量让网络流量的嗅探尽可能困难。

Upadate:

您可以尝试禁用设备/浏览器上的证书钉扎。这对于桌面系统来说很容易(@Psiinon链接到一个指南如何在火狐中禁用证书钉扎 -感谢您指出这一点)。

要禁用智能手机上的证书，您需要根目录/越狱设备。iOS的一个工具可能是SSL杀灭开关2，而Android可以使用JustTrustMe (根和xposed )。

我没有试过上面列出的任何一个工具。这两个工具都在这是阿南特·希里瓦斯塔瓦的演讲中列出。见幻灯片15和20。

最后注意:禁用诸如证书钉扎之类的安全功能是一种安全威胁，建议只用于测试。