[📱iOS — cниффим трафик Flutter приложения]

Всем привет! 👋

Недавно столкнулся с приложением на flutter для iOS. Данный фреймворк имеет некоторые особенности в плане работы с протоколом HTTP.
Особенность заключается в том, что некоторые приложения Flutter/Dart могут использовать встроенные сертификаты вместо системных, что делает невозможным использование пользовательских сертификатов, установленных на устройстве. Также одной из причин может быть игнорирование стандартных настроек прокси, которые обычно используются для перенаправления трафика в Burp.

Данная тема не обходится через стандартный objection, однако ИБ комьюнити выручает и можно использовать, например, скрипты ниже для проксирования и обхода пиннинга.

💻 https://github.com/hackcatml/frida-flutterproxy - проксирование через бурп
💻 https://codeshare.frida.re/@zionspike/bypass-flutter-pinning-ios/ - скрипт для обхода пиннинга


#mobile #appsec