Техническое задание: Анализ сетевого протокола мобильного приложения

Требуется выполнить реверс-инжиниринг сетевого взаимодействия защищенного мобильного приложения с сервером. Основная цель - исследовать и документировать протокол обмена данными, в частности, механизм аутентификации.

Проблема

Имеется клиентское приложение, которое при запуске требует ввода пароля. Предоставленный пароль система отвергает как неверный. Необходимо понять, как устроен процесс проверки на стороне сервера, и что именно передается в сетевых запросах.

Основные задачи

• Настроить перехват (сниффинг) сетевого трафика между мобильным приложением и его сервером.
• Проанализировать зашифрованные HTTPS-запросы (возможно, потребуется установка пользовательского сертификата на устройство).
• Выявить структуру запроса на аутентификацию: какие параметры (помимо пароля) передаются, используется ли хэширование, соль, временные метки, токены устройства.
• Документировать последовательность вызовов API для дальнейшего понимания логики работы приложения.
• Предоставить отчет о проделанной работе и найденных особенностях протокола.

Требования к результату

• Подробное описание шагов, необходимых для перехвата трафика конкретного приложения.
• Примеры сырых и расшифрованных (по возможности) HTTP(S) запросов и ответов, связанных с процедурой входа.
• Анализ и предположения о том, почему валидный пароль может не приниматься (например, из-за привязки к устройству, устаревшего формата хэша и т.д.).