Como obter as querys do app do Nubank

[andreroggeri]

Abrindo essa discussão pois é uma dúvida recorrente

Vou deixar um guia aqui pra quem quiser analisar as requisições do Nubank.

Obs: Utilizei esses métodos a um bom tempo atrás. É possível que o Nubank tenha atualizado os mecanimos de segurança deles dificultando a inspeção das requisições

Pré Requisitos:
Dispositivo / Emulador com Root
Burp Suite instalado para analisar as requisições
Aplicativo do Nubank instalado
Proxy do Android configurado apontando para o Burp Suite
frida-server rodando no Android
adb disponível no PATH

Guia

1. Fazer login no Nubank nesse dispositivo
2. Baixar o certificado gerado pelo login (Fica em /data/data/com.nu.production/files/{ID_DA_SUA_CONTA}/KeyStore.default.p12
   o comando para copiar é adb pull /data/data/com.nu.production/files/{ID_DA_SUA_CONTA}/KeyStore.default.p12
3. Configurar o Burp Suite para utilizar o certificado do Nubank (A senha do certificado é nubank)
   
4. Executar a aplicação pelo frida com o script que desativa o certificate pinning
   frida -U -f com.nu.production -l .\frida.js --no-pause
5. Navegar pela a funcionalidade que vc quer replicar aqui no pynubank
   O request deve aparecer no Burp Suite, e por lá é possível descobrir quais as querys são utilizadas para montar cada tela
   

[Lohann]

Olá, @andreroggeri muito obrigado por dedicar seu tempo documentando e mantendo esse projeto, tem sido de uma utilidade imensa!

Hoje eu segui os mesmo passos, na tentativa de habilitar transferencias via PIX no pynubank, ainda estou trabalhando nisso..

O app do nubank agora detecta root e emuladores e reporta isso para a API, invalidando os certificados do dispositivo, ao inicia-lo via emulador com root ele manda as seguintes mensagens:

Nubank tamper_attempt_detected

Method: POST
Endpoint: https://prod-s4-blade-runner.nubank.com.br/api/graphql/query
Body:

{
  "operationName": "tamper_attempt_detected",
  "variables":{"input":{"tamperAction":"emulatorDetection"}},
  "query":"mutation($input: TamperAttemptDetectedInput!) {\n  tamperAttemptDetected(input: $input) {\n    deeplink\n  }\n}"
}

{
  "operationName": "tamper_attempt_detected",
  "variables":{
      "input":{ "tamperAction":"magiskDetection"}
  },
  "query":"mutation($input: TamperAttemptDetectedInput!) {\n  tamperAttemptDetected(input: $input) {\n    deeplink\n  }\n}"
}

{
    "operationName": "tamper_attempt_detected",
    "variables":{
        "input": { "tamperAction":"rootDetection"}
    },
    "query":"mutation($input: TamperAttemptDetectedInput!) {\n  tamperAttemptDetected(input: $input) {\n    deeplink\n  }\n}"
 }

Response 200:

{"data":{"tamperAttemptDetected":{"deeplink":""}}}

Em seguida o app verifica os certificados, que foram revogados.

Nubank verifyClientCertificate

Method: POST
Endpoint: https://prod-s4-blade-runner.nubank.com.br/api/graphql/query
Body:

{
  "operationName": "verifyClientCertificate",
  "variables":{},
  "query":"query verifyClientCertificate {\n  viewer {\n    verifyClientCertificate {\n      ok\n    }\n  }\n}"
}

Response 401 Unauthorized:

{
  "errors":[{
    "message":"Unauthorized",
    "locations":[
      {"line":3,"column":5}
    ],
    "type":"unauthorized",
    "query_path":["viewer","verifyClientCertificate"],
    "path":["viewer","verifyClientCertificate"],
    "extensions":{"type":"unauthorized"}
  }],
  "data":{"viewer":null}
}

Depois disso, qualquer tentativa ver fazer qualquer coisa no app, ira exibir a mensagem:

"No momento, não conseguimos autorizar este aparelho.Entre em contato no número <a href="tel:08005912117">0800 591 2117 para que o nosso time te ajude.

Como próximos passos, esse fim de semana tentarei novamente desabilitando a deteção de root do emulador, em ultimo caso posso utilizar um dispositivo real, caso tenha mais algum material sobre o assunto seria de imensa ajuda!

[andreroggeri]

Interessante. Talvez se bloquearmos essa requisição os certificados continuem válidos hehe.
Mas não sei de cabeça se dá pra fazer um bloqueio com base no conteúdo do request.

[Lohann]

Parece que tem como enganar o app do nubank usando o Frida e o Zygisk do Magisk, mas não sei ainda como faz, vou dar uma olhada nisso:

• https://theoffensivelabs.medium.com/bypassing-root-detection-and-emulator-detection-in-android-apps-using-frida-e938109e468c
• https://xiaomiui.net/how-to-use-zygisk-5640/

[Lohann]

Passos que eu segui:

1 - Instalar Android Studio
2 - Iniciar um emulador com Play Store, utilizei o Pixel 4 + Android 12.0 31
3 - Emuladores com Play Store não tem root, então usei o rootAVD para instalar o Magisk e habilitar o root, seguindo os passos desse video (eu uso MacOS)
4 - Instalar o Burp Suite Community Edition, inciar ele e exportar o certificado do Proxy no formato DER
5 - Instalar o modulo Magisk Trust User Certs no Magisk, para conseguir subir o certificado do Bump Suite com permissão do sistema
6 - Copiar o certificado para o android sdcard do emulador adb push certificado.der /sdcard/
7 - Ativar o certificado indo em Settings > Security > Encryption & credentials > Install a certificate
8 - Ir no Magisk e reiniciar o dispositivo, caso contrário o certificado não vai para a pasta certa em /system/etc/security/cacerts/
9 - Ativar o Proxy apontando para o ip da maquina + porta do Burp Suite
10 - Instalar o Nubank pela PlayStore
11 - Fazer login com CPF + Senha
12 - Copiar esses dois arquivos da pasta do nubank:

adb pull /data/data/com.nu.production/files/{ID_DA_SUA_CONTA}/KeyStore.default.p12
adb pull /data/data/com.nu.production/files/{ID_DA_SUA_CONTA}/KeyStore.default_crypto.p12

13 - Adicionei ambos ao TLS do proxy como você sugeriu
14 - Iniciar o app e começar a ver as logs de rede..

Parei aqui até encontrar esse problema da revogação dos certificados.

[marcotuliocnd]

galera, será que alteraram algo pra dificultar o proxy? Por aqui fiz todo o passo a passo, mas poucas requests são interceptadas. As principais onde mostrar as queries do graphql não são interceptadas pelo burp

[pjlunardelli]

Conseguiram obter sucesso recentemente?