zurück zum Artikel

Die neue Version des Burp-Proxies enthält vor allem einen Workaround für ein Problem, das bislang das Analysieren von verschlüsselten SSL-Verbindungen von Android-Handys verhinderte.

Die neue Version des Burp-Proxies [1] soll die Analyse von verschlüsselten SSL-Verbindungen mit Android-Handys verbessern. Entwickler und Sicherheitsforscher benutzen den Burp-Proxy gern, um den Web-Verkehr von PCs und neuerdings auch Smartphones zu untersuchen. So überprüfte heise Security kürzlich für c't die Aktivitäten diverser Smartphone-Apps [2] mit Burp.

Dazu wird der Burp-Server auf dem Gerät als Proxy für HTTP- und HTTPS-Verbindungen eingetragen und ein Herausgeber-Zertifikat installiert. Mit letzterem kann der Burp-Proxy sich dann on-the-fly selbst Zertifikate ausstellen, um einen HTTPS-Server zu imitieren und als Man-in-the-Middle zu agieren.

Bei Android-Phones trat dabei jedoch das Problem auf, dass das Gerät zunächst die IP-Adresse des gewünschten Servers via DNS erfragte und sich dann vom Proxy via CONNECT [3] direkt zu dieser durchstellen ließ. Burp wusste also gar nicht, auf welchen Servernamen er sich ein Zertifikat ausstellen sollte und verwendete als Common Name dessen IP-Adresse, was dann auf dem Smartphone zu Fehlermeldungen oder gar nicht erst aufgebauten Verbindungen führte. Die neue Version 1.4.12 [4] baut nun zunächst selbst eine SSL-Verbindung zum Ziel-Server auf und imitiert dessen Zertifikat dann so gut wie möglich. (ju [5])

URL dieses Artikels:
https://www.heise.de/-1662408

Links in diesem Artikel:
[1] http://www.heise.de/download/burp-proxy-1123013.html
[2] http://www.heise.de/artikel-archiv/ct/2012/7/120_kiosk
[3] http://en.wikipedia.org/wiki/CONNECT_%28HTTP%29
[4] http://releases.portswigger.net/2012/08/v1412.html
[5] mailto:ju@ct.de

Copyright © 2012 Heise Medien