Hitta handelsbankens inofficiella API

Hej allihopa,

Tink och andra privatekonomi-appar använder sig av inofficiella API:er för att kunna hämta ut information från de olika Svenska bankerna. Jag letar efter handelsbankens nuvarande inofficiella API. Någon som vet var man kan hitta ett sådant?

Har prövat wireshark för att titta på min egna APP-trafik från min iPhone fast har svårt att avläsa vad som skickas. Går detta ens att göra med bank-apparna?

Någon som har några tips på hur man kan hitta dessa API:er och hur man sen bäst använder dem?

Nej jag tror inte att apparna "hackar" bankerna, man har avtal med bankerna och får därför tillgång till APIer.

Det finns ingen lag som säger att ett API måste vara öppet. Det har funnits "API"er i säkert 50 år som låter olika system prata med varandra.

Det du vill göra är att försöka hacka dessa API:er - fast med obegränsat kunskap - lycka till

Säg att du vill ha tillgång till API-et åt dina kunder så får du säkert information.

Det är krypterad trafik, och du kommer inte kunna läsa den om du inte använder en intercepting proxy, och appen tillåter osäkra certifikat. Gissningsvis gör den inte det, så det enda du kan göra är att reverse engineera appen och få fram schemat därifrån. Om det nu inte finns en wsdl eller liknande publicerad.

Hmm, på något sätt har dom lyckats iaf. Vet att dom flesta inte scrape:ar. Det gör iaf inte "Spiir" enligt denna danska artikel: https://www.computerworld.dk/art/239...erdifulde-data

Jag har försökt hacka handelsbanken förr (via appen) och du behöver avläsa trafiken för att få reda på endpoints då anslutningen sker över TLS (jag vet, chockade!). Appen använder certifikatspinning så du kan inte importera ett rootcert och hoppas på det bästa, utan du får komma runt certifikatspinningen (lycka till!).

De har troligtvis gjort binäranalys istället för trafikanalys.

Hmm, är nog lite över mitt huvud om man måste avkryptera och hitta end-points.

Skulle nog isf behöva mer handhållning

Du kommer inte lyckas med avkryptering, det är lite poängen.

Som sagt, binäranalys. Det finns säkert de som kan tänka sig göra det mot betalning.

Utvecklingsverkygen till Android är gratis. Kör APK:en i en debugger så kan du nog få ut vad som skickas fram och tillbaka.

Bankerna måste väl ändå köra med autentisering och kryptering på APIer?