Sur une machine virtuelle

Tout d'abord, vous devez télécharger le certificat Der de Burp. Vous pouvez le faire dans Proxy --> Options --> Importer / Exporter le certificat CA

Exportez le certificat au format Der et transformons-le en une forme que Android pourra comprendre. Notez que pour configurer le certificat burp sur la machine Android dans AVD, vous devez exécuter cette machine avec l'option -writable-system. Par exemple, vous pouvez l'exécuter comme suit :

C:\Users\<UserName>\AppData\Local\Android\Sdk\tools\emulator.exe -avd "AVD9" -http-proxy 192.168.1.12:8080 -writable-system

Ensuite, pour configurer le certificat de Burp, faites :

openssl x509 -inform DER -in burp_cacert.der -out burp_cacert.pem
CERTHASHNAME="`openssl x509 -inform PEM -subject_hash_old -in burp_cacert.pem | head -1`.0"
mv burp_cacert.pem $CERTHASHNAME #Correct name
adb root && sleep 2 && adb remount #Allow to write on /syste
adb push $CERTHASHNAME /sdcard/ #Upload certificate
adb shell mv /sdcard/$CERTHASHNAME /system/etc/security/cacerts/ #Move to correct location
adb shell chmod 644 /system/etc/security/cacerts/$CERTHASHNAME #Assign privileges
adb reboot #Now, reboot the machine

Une fois que la machine a fini de redémarrer, le certificat Burp sera utilisé par celle-ci !

Utilisation de Magisc

Si vous avez rooté votre appareil avec Magisc (peut-être un émulateur) et que vous ne pouvez pas suivre les étapes précédentes pour installer le certificat Burp car le système de fichiers est en lecture seule et que vous ne pouvez pas le remonter en écriture, il y a une autre façon de procéder.

Expliqué dans cette vidéo vous devez :

1. Installer un certificat CA : Il vous suffit de glisser-déposer le certificat Burp DER en changeant l'extension en .crt sur le mobile pour qu'il soit stocké dans le dossier Téléchargements, puis allez dans Installer un certificat -> Certificat CA

• Vérifiez que le certificat a été correctement stocké en allant dans Certificats de confiance -> UTILISATEUR

2. Le rendre fiable pour le système : Téléchargez le module Magisc MagiskTrustUserCerts (un fichier .zip), glissez-déposez-le sur le téléphone, allez dans l'application Magics sur le téléphone dans la section Modules, cliquez sur Installer depuis le stockage, sélectionnez le module .zip et une fois installé, redémarrez le téléphone :

• Après le redémarrage, allez dans Certificats de confiance -> SYSTÈME et vérifiez que le certificat Postswigger est présent

Post Android 14

Dans la dernière version Android 14, un changement significatif a été observé dans la gestion des certificats d'autorité de certification (CA) fiables par le système. Auparavant, ces certificats étaient stockés dans /system/etc/security/cacerts/, accessibles et modifiables par les utilisateurs disposant de privilèges root, ce qui permettait une application immédiate dans tout le système. Cependant, avec Android 14, l'emplacement de stockage a été déplacé vers /apex/com.android.conscrypt/cacerts, un répertoire situé dans le chemin /apex, qui est immuable par nature.

Les tentatives de remonter le chemin APEX cacerts en écriture se soldent par un échec, car le système n'autorise pas de telles opérations. Même les tentatives de démontage ou de superposition du répertoire avec un système de fichiers temporaire (tmpfs) ne contournent pas l'immuabilité ; les applications continuent d'accéder aux données de certificat d'origine indépendamment des modifications au niveau du système de fichiers. Cette résilience est due à la configuration du montage /apex avec une propagation PRIVÉE, garantissant que toute modification dans le répertoire /apex n'affecte pas les autres processus.

L'initialisation d'Android implique le processus init, qui, lors du démarrage du système d'exploitation, lance également le processus Zygote. Ce processus est responsable du lancement des processus d'application avec un nouveau namespace de montage incluant un montage privé /apex, isolant ainsi les modifications apportées à ce répertoire des autres processus.

Néanmoins, une solution de contournement existe pour ceux qui ont besoin de modifier les certificats CA fiables par le système dans le répertoire /apex. Cela implique de remonter manuellement /apex pour supprimer la propagation PRIVÉE, le rendant ainsi inscriptible. Le processus consiste à copier le contenu de /apex/com.android.conscrypt vers un autre emplacement, à démonter le répertoire /apex/com.android.conscrypt pour éliminer la contrainte en lecture seule, puis à restaurer le contenu à son emplacement d'origine dans /apex. Cette approche nécessite une action rapide pour éviter les plantages du système. Pour garantir l'application de ces modifications à l'échelle du système, il est recommandé de redémarrer le system_server, ce qui redémarre efficacement toutes les applications et ramène le système à un état cohérent.

# Create a separate temp directory, to hold the current certificates
# Otherwise, when we add the mount we can't read the current certs anymore.
mkdir -p -m 700 /data/local/tmp/tmp-ca-copy

# Copy out the existing certificates
cp /apex/com.android.conscrypt/cacerts/* /data/local/tmp/tmp-ca-copy/

# Create the in-memory mount on top of the system certs folder
mount -t tmpfs tmpfs /system/etc/security/cacerts

# Copy the existing certs back into the tmpfs, so we keep trusting them
mv /data/local/tmp/tmp-ca-copy/* /system/etc/security/cacerts/

# Copy our new cert in, so we trust that too
mv $CERTIFICATE_PATH /system/etc/security/cacerts/

# Update the perms & selinux context labels
chown root:root /system/etc/security/cacerts/*
chmod 644 /system/etc/security/cacerts/*
chcon u:object_r:system_file:s0 /system/etc/security/cacerts/*

# Deal with the APEX overrides, which need injecting into each namespace:

# First we get the Zygote process(es), which launch each app
ZYGOTE_PID=$(pidof zygote || true)
ZYGOTE64_PID=$(pidof zygote64 || true)
# N.b. some devices appear to have both!

# Apps inherit the Zygote's mounts at startup, so we inject here to ensure
# all newly started apps will see these certs straight away:
for Z_PID in "$ZYGOTE_PID" "$ZYGOTE64_PID"; do
if [ -n "$Z_PID" ]; then
nsenter --mount=/proc/$Z_PID/ns/mnt -- \
/bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts
fi
done

# Then we inject the mount into all already running apps, so they
# too see these CA certs immediately:

# Get the PID of every process whose parent is one of the Zygotes:
APP_PIDS=$(
echo "$ZYGOTE_PID $ZYGOTE64_PID" | \
xargs -n1 ps -o 'PID' -P | \
grep -v PID
)

# Inject into the mount namespace of each of those apps:
for PID in $APP_PIDS; do
nsenter --mount=/proc/$PID/ns/mnt -- \
/bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts &
done
wait # Launched in parallel - wait for completion here

echo "System certificate injected"

Montage par liaison à travers NSEnter

1. Configuration d'un répertoire inscriptible: Initialement, un répertoire inscriptible est établi en montant un tmpfs sur le répertoire existant des certificats système non-APEX. Cela est réalisé avec la commande suivante:

mount -t tmpfs tmpfs /system/etc/security/cacerts

2. Préparation des certificats CA : Après la configuration du répertoire inscriptible, les certificats CA que l'on a l'intention d'utiliser doivent être copiés dans ce répertoire. Cela peut impliquer de copier les certificats par défaut depuis /apex/com.android.conscrypt/cacerts/. Il est essentiel d'ajuster les autorisations et les étiquettes SELinux de ces certificats en conséquence.

3. Montage de liaison pour Zygote : En utilisant nsenter, on entre dans l'espace de montage de Zygote. Zygote, étant le processus responsable du lancement des applications Android, nécessite cette étape pour garantir que toutes les applications initiées par la suite utilisent les certificats CA nouvellement configurés. La commande utilisée est :

nsenter --mount=/proc/$ZYGOTE_PID/ns/mnt -- /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts

Cela garantit que chaque nouvelle application lancée respectera la configuration mise à jour des certificats CA.

4. Application des modifications aux applications en cours d'exécution: Pour appliquer les modifications aux applications déjà en cours d'exécution, nsenter est à nouveau utilisé pour entrer individuellement dans l'espace de nom de chaque application et effectuer un montage de liaison similaire. La commande nécessaire est:

nsenter --mount=/proc/$APP_PID/ns/mnt -- /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts

5. Approche alternative - Redémarrage doux: Une méthode alternative consiste à effectuer le montage de liaison sur le processus init (PID 1), suivi d'un redémarrage doux du système d'exploitation avec les commandes stop && start. Cette approche propagerait les modifications à travers tous les espaces de noms, évitant ainsi la nécessité de traiter individuellement chaque application en cours d'exécution. Cependant, cette méthode est généralement moins préférée en raison de l'inconvénient du redémarrage.

Références

• https://httptoolkit.com/blog/android-14-install-system-ca-certificate/