移动安全测试 Xposed 获取微信用户名密码演示

易寒 · 2016年03月14日 · 最后由 易寒 回复于 2016年03月16日 · 57 次阅读
本帖已被设为精华帖!

参考文章:
Xposed 恶意插件
Android 安全专项-Xposed 劫持用户名密码实践

0x00

我在之前的文章中演示了一下如何通过 Xposed 获取用户名密码,那篇文章的例子是我自己写的,Monkey 就提议用一个大家都使用的 App 来试试,ok 所以就有了这篇文章

0x01

我根据Xposed恶意插件这篇文章介绍的原理开发了一个Xposed Module

我这次的例子采用的是微信客户端 740 来试的,下面看效果图:

这里写图片描述

实际上我输入真实账号,登录进去也能获取到用户名密码,具体的机制看前文的参考文章。

0x02

我这次试了市面上几个应用,其中 QQ 和招商银行 App,获取的都是乱码,说明对这种风险做过处理,JD 商城无法获取,这个我需要在研究下,而支付宝,58App 用上面的工具都能获取到用户名密码。
[2016.3.16 更新]
在 4.3 系统上,QQ 的密码依然能够获取,而在 4.2 上是获取到的是类似与这种的!@#ewa信息,说明他的防护措施在 4.3 系统是失效的。

0x03

此项目我选择不公布代码,所以代码的部分都没有贴。其实这个不能算大问题,只是算一个有风险的地方,重要的其实跟 QQ 或者招商银行及时做出应对,当年这个文章爆出来的时候,QQ 的用户名密码也能被获取,但是现在人家已经做了防护了。但是微信作为 QQ 的同系,居然没有做防护,微信比较还年轻,要做的还有很多

0x04

后续要做的是,分析出 QQ 和招商银行是如何防护的,给出一套解决方案才是最重要的

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
共收到 20 条回复 时间 点赞

前排支持 q 博

赞👍🏻

点赞,这个太关键了

赞啊~

最近在研究 iOS 对无源码的 app 进行 hook ,卡在重签名上面了,还是 android 方便。

安卓没 ROOT,是不是就 hook 不了呢。

#5 楼 @t880216t 不 root 就装不了 xposed,就 hook 不了了

貌似是 hook 了 edittext 的 gettext?
猜想 qq,招行 要不就是继承 edittext 的自定义控件, 要不就干脆不是 edit。具体还得分析原 apk
期待博士的进一步分析

易寒 #13 · 2016年03月15日 Author

#7 楼 @zhangzhao_lenovo 不是,是 hook ,textview 的 setInputType

易寒 #12 · 2016年03月15日 Author

#7 楼 @zhangzhao_lenovo qq 和招行是能获取到值的,不过值是做过特殊处理的,就是乱码,或者 ****,他肯定对 getText 做了处理

#8 楼 @doctorq 恩,自定义控件里应该有对输入做特殊处理再 super,所以 hook 的内容是些乱码。

易寒 #10 · 2016年03月15日 Author

#10 楼 @zhangzhao_lenovo 这个我这几天确认下,做个防护演示

反正也 root 了。 另一类界面劫持比这个危害大 。 在密码界面输入时 启个一模一样的 activity,或者启个透明 layout,再或者开启一段录屏。

易寒 #13 · 2016年03月15日 Author

#12 楼 @zhangzhao_lenovo 这个之前听说过,需要去实践下,起 activity 就是专门针对某个应用攻击了,录屏的话原理应该不难,支持没有 hook 的方式直接,还需要分析视频

http://zt.360.cn/1101061855.php?dtid=1101061451&did=1101452330 这个是录屏的... 未公布之前 完全没想到过,简直防不胜防。

#14 楼 @zhangzhao_lenovo 这个漏洞还没修么?我研究下,3q

刚找了下
google 2015.10.9 号发补丁修复了https://android.googlesource.com/platform/frameworks/base/+/b3145760db5d58a107fd1ffd8eeec67d983d45f3
发现这个漏洞的哥们 想法很奇特...

易寒 #17 · 2016年03月15日 Author

#16 楼 @zhangzhao_lenovo 嗯,现在应该无法利用了。但是这个漏洞的发现确实挺厉害的。

既然机器 root 了,那在监控到启动某个 activity 的时候,执行 screenrecord 命令录屏。

易寒 #19 · 2016年03月15日 Author

#18 楼 @xuxu 这个需要实践下,看有没有什么限制

易寒 #20 · 2016年03月16日 Author

QQ 在 4.3 上也能获取到密码了

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册