本文详细介绍了在安卓7.0及以上版本如何处理'Received fatal alert: certificate_unknown'问题,以成功使用Charles抓取HTTPS流量。文章讨论了系统安全策略变化,并提供了解决方案,包括修改应用配置、反编译、运行时hook、安装系统证书以及使用Magisk等方法。
一说起charles抓https,大家可能要笑我了,这还用得着你教?证书往手机上一装不就行了?
然而事情并没有这么简单,很多时候你会发现,即使你配置正确,在手机上也装好了charles证书,仍然无法抓到https,如下图所示,这是为什么呢?
Charles提示Received fatal alert: certificate_unknown,你还以为是你证书没配正确,折腾半天也找不到正确姿势,其实这都是安卓系统搞的鬼。
话说回来,并不是安卓要搞鬼,而是安卓专门为了防抓包防监听而设置的新的安全策略,详情可以参见这里:https://developer.android.com/training/articles/security-config
简言之,7.0以前,安卓系统默认是选择信任系统证书及用户证书的,我们安装的charles证书就是用户证书,然而到了7.0以后,安卓决定默认不信任用户自己安装的证书了(可能Google觉得用户都是小白,瞎几把装证书,所以一刀切了),所以我们现在即使装了证书系统也不信任,自然也抓不到包了。
有什么办法解决呢?这
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
