关于面向Android7.0及以上系统的应用无法通过charles抓包
关于面向Android7.0及以上系统的应用无法通过charles抓包
默认情况下,来自所有应用的安全连接(使用TLS和HTTPS之类的协议)均信任预装的系统CA,而面向6.0及以下系统版本的应用默认情况下还会信任用户添加的CA证书。如果我们将targetSdkVersion修改到24以上的时候,应用则不会信任用户安装的证书了。
详细说明见官方文档。
这时,当我们通过charles或其他抓包工具抓取应用的Https请求时,尽管在手机上暗安装了charles证书,则仍会显示证书链不被信任。
我们有两种解决方案,适用不同的场景。
在manifest文件中配置application的属性android:networkSecurityConfig=”@xml/network_security_config”
通过network_security_config.xml文件可以自定义网络安全设置,包括如下功能:
- 自定义信任的证书机构:适用于自签名证书或限制应用信任系统预装证书
- 证书固定:将应用的安全连接限制为特定的证书,适用于代理抓包、线下环境调试
- 明文通信选择退出:防止应用意外使用明文通信
- 仅调试重写:在debug状态设置上述限制
详细的配置可参考官方文档
那么我们为了使我们的应用信任charles的证书,可以选择证书固定或者直接信任用户安装的证书。配置如下:
固定证书:
<network-security-config>
<domain-config>
<domain includeSubdomains="true">example.comdomain>
<trust-anchors>
<certificates src="@raw/my_ca"/>
trust-anchors>
domain-config>
network-security-config>
注: 以 PEM 或 DER 格式将自签署或非公共 CA 证书添加到 res/raw/my_ca。信任用户安装的证书:
<network-security-config>
<trust-anchors>
<certificates src="system"/>
<certificates src="user"/>
trust-anchors>
network-security-config>但这样设置会忽视掉系统提供的安全的校验,所以尽可能不要配置到线上版本中,那么就要用到第四的功能了,仅调试重写。
<network-security-config>
<debug-overrides>
<domain-config>
<domain includeSubdomains="true">example.comdomain>
<trust-anchors>
<certificates src="@raw/my_ca"/>
trust-anchors>
domain-config>
debug-overrides>
network-security-config>这种配置方式在不改动代码的情况下,就支持了debug状态可抓包的操作,算是比较优雅的方案。
但是有另外的一个问题,如果测试同学也想抓取App的网络请求怎么办?提交测试时构建debug状态的安装包么?貌似不妥吧。debug和release版本的签名、混淆配置都不同。可能有人会说,只修改debuggable参数,其他不变。那么在构建线上安装包时还要手动改回来么?(如果可以有动态修改debuggable参数的方式请指教。)
就算是可以动态修改debuggable参数,因为证书是我们内置到工程中的,不能根据不同的人做修改,所以局限性还是蛮大的,仅适用于个人开发时使用。
由于以上限制就引出了第二种配置方案。
为网络请求库添加证书配置
由于我们不能动态控制debug状态,但是我们能控制什么时候为网络请求库配置https证书。例如:仅线上环境时不配置charles证书,其他时候由使用者指定加载charles证书文件。这种方式就做到了不依赖debuggable环境,而且可以动态修改证书文件。
不同的网络客户端配置证书方式,这里以okhttp为例做说明。
第一步:为你的网络客户端添加一个设置证书流的api,由调用者负责判断构建环境,并决定是否配置自定义证书。
private List cerFileIsList;
/**
* 设置Https证书文件
*
* @param cerFileIs 证书文件流列表
*/
public void addCertFileIs(InputStream cerFileIs) {
if (cerFileIsList == null) {
cerFileIsList = new ArrayList<>(2);
}
cerFileIsList.add(cerFileIs);
}
第二步,在初始化OkHttpClient时使用证书构建SSLSocketFactory
private SSLSocketFactory createSSLSocketFactory() throws NoSuchAlgorithmException, KeyManagementException {
SSLContext sslContext = SSLContext.getInstance("TLS");
if (cerFileIsList != null && cerFileIsList.size() > 0) {
try {
CertificateFactory cf = CertificateFactory.getInstance("X.509");
//创建一个包含我们信任证书的KeyStore
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
int certIndex = 0;
for (InputStream inputStream : cerFileIsList) {
String certAlias = String.valueOf(certIndex++);
keyStore.setCertificateEntry(certAlias, cf.generateCertificate(inputStream));
}
//根据秘钥库生成信任管理器
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
sslContext.init(null, tmf.getTrustManagers(), null);
} catch (IOException | CertificateException | KeyStoreException e) {
e.printStackTrace();
} finally {
CloseUtils.closeIO(cerFileIsList);
cerFileIsList.clear();
}
} else {
sslContext.init(null, null, null);
}
return new Tls12SocketFactory(sslContext.getSocketFactory());
}
当测试同学需要抓包时,只需要下载对应的Charles证书并由App载入后,重新初始化OkHttpClient就可以了。
通过OkHttpClient设置自定义证书时需要注意一点,就是需要把正常服务端接口域名的证书一并设置进来,否则的话App只信任charles证书,却不信任后端服务的证书了。