1、Fiddler的坑,证书无效
Fiddler是用来抓包的强大工具,但是按照流程安装证书等一系列操作之后,会发现要抓包APP的HTTPS链接始终无法访问,提示证书问题。 然后看网上说是需要root手机,然后安装什么Xposed、TrustManager. 然后我就纳闷了,以前手机抓包好好地,怎么现在不可以了呢,于是乎就换了个Android 5.1的测试机,结果顺利抓包。压根不用什么劳什子的XPosed之类的折腾。
根本原因是 Android7.0 之后默认不信任用户添加到系统的CA证书:
To provide a more consistent and more secure experience across the Android ecosystem, beginning with Android Nougat, compatible devices trust only the standardized system CAs maintained in AOSP。(百度翻译:为了在整个Android生态系统中提供更一致、更安全的体验,从Android Nougat开始,兼容设备只信任AOSP中维护的标准化系统CA)
也就是说对基于 SDK24 及以上的APP来说,即使你在手机上安装了抓包工具的证书也无法抓取 https 请求
2、对接SDK的坑我们Android APP最近升级了一个SDK,结果发现我们线上Crash收集系统收集不到错误日志了,然后排查发现第三方SDK默认提供了一个SDKCrashHandler,用以捕获APP崩溃的异常。问题是我们升级SDK的时候,对方升级文档对此只字未提。真是太坑了,而且第三方SDK的CrashHandler默认是开
