如何使用Solitude評估應(yīng)用程序中的用戶隱私問題
關(guān)于Solitude
Solitude是一款功能強大的隱私安全分析工具,可以幫助廣大研究人員根據(jù)自己的需要來進行隱私問題調(diào)查。無論是好奇的新手還是更高級的研究人員,Solitude可以幫助每一名用戶分析和研究應(yīng)用程序中的用戶隱私安全問題。
值得一提的是,Solitude因在一個受信的專用網(wǎng)絡(luò)上運行,即用戶需要在私有可信網(wǎng)絡(luò)上運行該工具。
關(guān)于證書綁定
如何你打算使用Solitude來測試移動應(yīng)用程序的話,對于非越獄設(shè)備,如果應(yīng)用程序或嵌入應(yīng)用程序的第三方SDK使用了證書綁定,那么你可能無法捕捉到所有的HTTP流量。因為證書綁定是一種安全機制,可確保應(yīng)用程序與之通信的服務(wù)器是其預期的服務(wù)器。但是,Solitude目前還不支持證書綁定繞過。
工具安裝
(1) macOS-Docker安裝:
首先,我們需要使用下列命令將該項目源碼克隆至本地:
- git clone https://github.com/nccgroup/Solitude
接下來,我們需要安裝Docker:
- docker-compose -f docker-compose-prod.yml build
- docker-compose -f docker-compose-prod.yml up
然后,打開瀏覽器并訪問http://localhost:5000,按照操作指引開啟虛擬專用服務(wù)器,并配置好你的移動設(shè)備和中間人攻擊MitM代理證書。
(2) macOS本地安裝(無需Docker-Compose)
首先,我們需要安裝好Docker。
接下來,運行下列命令:
- brew install mysql
然后運行MySQL Docker容器:
- docker run -p 3306:3306 -d --name mysql -e MYSQL_ROOT_PASSWORD=solitude mysql
接下來,將該項目源碼克隆至本地,安裝好依賴組件之后,就可以直接運行工具腳本了:
- git clone https://github.com/nccgroup/Solitude
- cd Solitude && python3 -m venv venv
- source venv/bin/activate
- pip3 install -r requirements.txt
- python3 run.py
安裝完成后,打開瀏覽器并訪問http://localhost:5000,配置你的瀏覽器通過localhost:8080代理所有的HTTP流量即可。
(3) Linux安裝
首先,我們需要安裝并配置好Docker和Docker-compose:
- docker-compose -f docker-compose-prod.yml build
- docker-compose -f docker-compose-prod.yml up
接下來,將該項目源碼克隆至本地,安裝好依賴組件之后,就可以直接運行工具腳本了:
- git clone https://github.com/nccgroup/Solitude
- cd Solitude && python3 -m venv venv
- source venv/bin/activate
- sudo apt-get install libmysqlclient-dev
- pip3 install -r requirements.txt
- python3 run.py
安裝完成后,打開瀏覽器并訪問http://localhost:5000,配置你的瀏覽器通過localhost:8080代理所有的HTTP流量即可。
數(shù)據(jù)庫配置
我們還需要修改Solitude的數(shù)據(jù)庫默認密碼,編輯.env文件中的密碼即可。
項目地址
Solitude:【GitHub傳送門】
