Neuer Burp-Proxy knackt auch Android-SSL

Die neue Version des Burp-Proxies enthält vor allem einen Workaround für ein Problem, das bislang das Analysieren von verschlüsselten SSL-Verbindungen von Android-Handys verhinderte.

In Pocket speichern vorlesen Druckansicht 60 Kommentare lesen
Lesezeit: 1 Min.

Als Man-in-the-Middle kann man auch den eigentlich verschlüsselten Verkehr analysieren.

Die neue Version des Burp-Proxies soll die Analyse von verschlüsselten SSL-Verbindungen mit Android-Handys verbessern. Entwickler und Sicherheitsforscher benutzen den Burp-Proxy gern, um den Web-Verkehr von PCs und neuerdings auch Smartphones zu untersuchen. So überprüfte heise Security kürzlich für c't die Aktivitäten diverser Smartphone-Apps mit Burp.

Dazu wird der Burp-Server auf dem Gerät als Proxy für HTTP- und HTTPS-Verbindungen eingetragen und ein Herausgeber-Zertifikat installiert. Mit letzterem kann der Burp-Proxy sich dann on-the-fly selbst Zertifikate ausstellen, um einen HTTPS-Server zu imitieren und als Man-in-the-Middle zu agieren.

Bei Android-Phones trat dabei jedoch das Problem auf, dass das Gerät zunächst die IP-Adresse des gewünschten Servers via DNS erfragte und sich dann vom Proxy via CONNECT direkt zu dieser durchstellen ließ. Burp wusste also gar nicht, auf welchen Servernamen er sich ein Zertifikat ausstellen sollte und verwendete als Common Name dessen IP-Adresse, was dann auf dem Smartphone zu Fehlermeldungen oder gar nicht erst aufgebauten Verbindungen führte. Die neue Version 1.4.12 baut nun zunächst selbst eine SSL-Verbindung zum Ziel-Server auf und imitiert dessen Zertifikat dann so gut wie möglich. (ju)