Skip to content

MASTG-TEST-0236: Tráfego em Texto Claro Observado na Rede

Visão Geral

Este teste intercepta o tráfego de rede de entrada e saída do aplicativo e verifica se há qualquer comunicação em texto claro. Embora as verificações estáticas possam mostrar apenas tráfego potencial em texto claro, este teste dinâmico mostra toda a comunicação que o aplicativo definitivamente realiza.

Aviso

  • Interceptar o tráfego em nível de rede mostrará todo o tráfego que o dispositivo realiza, não apenas o de um único aplicativo. Vincular o tráfego a um aplicativo específico pode ser difícil, especialmente quando há mais aplicativos instalados no dispositivo.
  • Vincular o tráfego interceptado a locais específicos no aplicativo pode ser difícil e requer análise manual do código.
  • A análise dinâmica funciona melhor quando você interage extensivamente com o aplicativo. Mas mesmo assim, pode haver casos extremos que são difíceis ou impossíveis de executar em todos os dispositivos. Portanto, os resultados deste teste provavelmente não são exaustivos.

Etapas

Você pode usar uma das seguintes abordagens:

Observações:

  • Proxies de interceptação mostrarão apenas tráfego HTTP(S). No entanto, você pode usar alguns plugins específicos de ferramentas, como Burp-non-HTTP-Extension, ou outras ferramentas como MITM Relay para decodificar e visualizar comunicação via XMPP e outros protocolos.
  • Alguns aplicativos podem não funcionar corretamente com proxies como Burp e ZAP devido ao certificate pinning. Nesse cenário, você ainda pode usar sniffing de rede básico para detectar tráfego em texto claro. Caso contrário, você pode tentar desativar o pinning (consulte Contornando o Certificate Pinning para Android e Contornando Certificate Pinning para iOS).

Observação

A saída contém o tráfego de rede capturado.

Avaliação

O caso de teste falha se qualquer tráfego em texto claro se origina do aplicativo alvo.

Observação: Isso pode ser desafiador de determinar porque o tráfego pode potencialmente vir de qualquer aplicativo no dispositivo. Consulte a seção Visão Geral).