Android-Traffic live mit PCAP Remote und Wireshark analysieren

Während Sie Ihre Lieblings-Apps nutzen, herrscht Rushhour auf der Datenautobahn: Ihr Smartphone transportiert etliche Datenpakete in die weite Welt, automatisch und ohne Ihre Zustimmung. Wer nicht blind darauf vertrauen möchte, dass die Pakete schon keine persönlichen Daten, Fotos oder Standort­daten enthalten, kann sie öffnen und den Inhalt kontrollieren. Mit PCAP Remote ist das komfortabler denn je.

Üblicherweise greift man zur Analyse des Datenverkehrs einer Android-App zu einem SSL-Proxy wie mitmproxy [1], der sich aktiv in die TLS/SSL-Verschlüsselung einklinkt und so die übertragenen Daten lesbar macht. Aber damit fischt man viel Beifang, da diese Tools den gesamten Datenverkehr des Smartphones anzeigen und ihn nicht nach Apps filtern können. Das wiederum klappt mit Analyse-Apps wie Packet Capture oder HTTP Canary, die wir bereits ausführlich in c’t vorgestellt haben [2]. Sie laufen lokal auf dem Smartphone, wo sie sich über die VPN-Schnittstelle in die Verbindung einklinken. Man hat die Wahl, ob man alles oder nur den Traffic bestimmter Apps einsehen möchte. Diese Tools sind gut geeignet, um auf die Schnelle herauszufinden, was eine bestimmte App im Schilde führt. Längerfristig ist die Auswertung auf dem kleinen Smartphone-Display jedoch mühsam und ein Export der Paketmitschnitte zur späteren Analyse am Rechner – bestenfalls mit Wireshark – gelingt nicht immer.