标签:
参考文章:Xposed恶意插件
Android 安全专项-Xposed 劫持用户名密码实践
我在之前的文章中演示了一下如何通过Xposed获取用户名密码,那篇文章的例子是我自己写的,Monkey就提议用一个大家都使用的App来试试,ok所以就有了这篇文章
我根据Xposed恶意插件
这篇文章介绍的原理开发了一个Xposed Module
我这次的例子采用的是微信客户端740来试的,下面看效果图:
实际上我输入真实账号,登录进去也能获取到用户名密码,具体的机制看前文的参考文章。
我这次试了市面上几个应用,其中QQ和招商银行App,获取的都是乱码,说明对这种风险做过处理,JD商城无法获取,这个我需要在研究下,而支付宝,58App用上面的工具都能获取到用户名密码。
此项目我选择不公布代码,所以代码的部分都没有贴。其实这个不能算大问题,只是算一个有风险的地方,重要的其实跟QQ或者招商银行及时做出应对,当年这个文章爆出来的时候,QQ的用户名密码也能被活动,但是现在人家已经做了防护了。但是微信作为QQ的同系,居然没有做防护,微信比较还年轻,要做的还有很多
后续要做的是,分析出QQ和招商银行是如何防护的,给出一套解决方案才是最重要的
标签:
原文地址:http://blog.csdn.net/itfootball/article/details/50889062